Calculer automatiquement le risque dans Réponse aux vulnérabilités des applications

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Les calculateurs de vulnérabilité de l’application automatisent le calcul des valeurs de risque initiales pour les champs des éléments vulnérables de l’application (AVI). Les calculs de risque permettent de déterminer clairement comment hiérarchiser le rattrapage. La condition de chaque calculateur est évaluée dans l’ordre, et le premier calculateur correspondant est utilisé.

    Calculateurs de vulnérabilité de l’application

    Le Réponse aux vulnérabilités des applications système de base comprend deux calculateurs de vulnérabilité qui définissent le score de risque de base sur l’élément vulnérable de l’application.
    • Calculateur de risque de base
    • Calculateur Advanced Risk

    Les calculateurs de vulnérabilité des applications peuvent être conçus pour classer par ordre de priorité et évaluer l’impact des AVI en fonction de n’importe quel critère à l’aide de filtres de condition. Qu’il s’agisse de l’impact sur l’entreprise de la vulnérabilité, de la classe de l’élément de configuration (CI) ou de l’âge de l’AVI, vous pouvez créer des calculateurs de vulnérabilité supplémentaires pour définir d’autres champs sur les AVI. Vous pouvez également personnaliser les calculateurs de vulnérabilité existants. Un calculateur peut être écrit pour refléter n’importe quel ensemble de priorités. Consultez Filtrage au sein de Gestion de la vulnérabilité des applications pour plus d'informations.

    Les AVI contiennent la valeur de score de risque dérivée des calculateurs de risque.
    Remarque :
    Un AVI affiche la gravité de la source , mais pas la gravité normalisée. La gravité normalisée est utilisée par les calculateurs pour obtenir la valeur du score de risque , mais n’est pas affichée sur les AVI.

    Chaque calculateur contient une liste de règles de calcul, avec une condition déterminant quand l’appliquer. Lorsque le calculateur est exécuté, la condition de chaque règle de calcul est évaluée dans l’ordre, et la première règle de calcul correspondante est utilisée.

    Tous les calculateurs de vulnérabilité activés définissent les champs sélectionnés chaque fois qu’un AVI est créé, lorsqu’un CI associé ou une vulnérabilité change.

    Le calculateur de risque de base calcule le score de risque pour AVI à l’aide de la gravité de vulnérabilité normalisée.
    Remarque :
    Un seul calculateur par champ cible (score de risque) peut être actif à la fois.

    Le risque de base est activé par défaut. Le calculateur Advanced Risk est désactivé par défaut.

    Règles du calculateur de vulnérabilité de l’application

    Le calculateur de risque de base du système de base contient des règles de calcul qui attribuent à chaque niveau de gravité (aucun à critique) une valeur (0-100) pour le score de risque en fonction de la gravité. Gravité inconnue se voit automatiquement attribuer un score de risque de 100. Ces valeurs peuvent être ajustées et, comme le calculateur Advanced Risk, de nouvelles règles de calcul ou de nouvelles règles de risque peuvent être créées.
    Remarque :
    À partir de la version 23.0 de Réponse aux vulnérabilités des applications, chaque fois que le score de risque est mis à jour sur un AVIT, la section Notes est mise à jour avec les détails suivants :
    • Nom du groupe de calculateurs
    • Nom du calculateur : selon que la règle du calculateur est basée sur un modèle ou un script, le nom est ajouté avec les détails entre parenthèses. Pour modifier ou afficher la base de la règle du calculateur, sélectionnez n’importe quelle règle et cochez la case Vue avancée . Dans la liste déroulante Type de valeur , sélectionnez l’option requise. Si le modèle est sélectionné, le score de risque est mis à jour en fonction de la condition spécifiée dans la règle. Si Script est sélectionné, vous pouvez ajouter ou mettre à jour le script existant.
    Le calculateur Advanced Risk du système de base contient une règle de calcul de vulnérabilité spécialisée appelée règle de risque par défaut. Il calcule le score de risque en fonction de plusieurs valeurs :
    • Gravité de la vulnérabilité
    • 10 premiers OWASP
    • SANS Top 25
    Vous pouvez personnaliser les critères de la règle de risque par défaut. Pour plus d'informations, consultez Définir des champs et des poids pour la règle de risque.

    Vous pouvez ajuster les valeurs à utiliser dans la règle de risque par défaut et le poids à donner à chacune de ces valeurs. Les pondérations sont utilisées pour ajuster l’importance de chaque élément lors de la définition du score de risque.

    Chaque règle a un paramètre d’ordre . Toutefois, la première à correspondre aux conditions met à jour le champ Score de risque dans l’AVI. Les règles de calculateur non scriptées ont généralement moins d’impact sur les performances que les règles de calculateur scriptées.

    Poids du score du risque de vulnérabilité

    Un score de risque et une évaluation sont attribués à toutes les vulnérabilités en fonction de facteurs tels que la gravité, la criticité, les informations d’exploitation, etc. La règle Update Risk Rating from Risk Score métier de la table des éléments vulnérables est responsable du calcul de la cote de risque. Chaque fois que le score de risque change, la cote de risque est calculée et renseignée sur les éléments vulnérables. Avant la version 17.1 de l’application Réponse aux vulnérabilités (VR), les évaluations de risque suivantes étaient fournies dans le cadre du script include VulnerabilityUtils, qui étaient codés en dur.
    Valeur (cote de risque) Poids (score de risque)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    À partir de la version 18.0 de Réponse aux vulnérabilités,
    • Les types de cote de risque sont expédiés dans la table de base en tant que avr_risk_rating. Ces types sont transmis dans le cadre de la règle métier sur chaque table où la cote de risque est calculée.
    • Le script est modifié afin que vous puissiez interroger les entrées dans les valeurs de la table Poids du score de risque pour le calcul de la cote de risque.
    • Ajoutez des entrées supplémentaires pour un type existant ou créez un nouveau type. Lorsque vous créez un nouveau type, assurez-vous d’ajouter les étiquettes pour la nouvelle cote de risque et de modifier les scripts et règles métier connexes. Vous devez également ajouter un nouveau style pour le nouveau score de risque.
    • Modifiez le script pour interroger les enregistrements dans la table de base.
    Vous pouvez accéder à la table des poids de score de risque en saisissant sn_sec_cmn_risk_score_weight dans le navigateur de filtre.
    En outre, le score de risque est automatiquement recalculé dans les scénarios suivants :
    • Lorsqu’un élément de configuration (CI) passe d’un mode non accessible sur Internet à un mode accessible sur Internet.
    • Lorsque les vulnérabilités et expositions communes (CVE) ou les entrées tierces (TPE) associées sur les éléments de vulnérabilité (VI) sont liées à une vulnérabilité d’exploitation connue CVE (KEV).