Calculer automatiquement le risque dans Réponse aux vulnérabilités des applications

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Les calculateurs de vulnérabilité de l’application automatisent le calcul des valeurs de risque initiales pour les champs des éléments vulnérables de l’application (AVI). Les calculs de risque offrent un aperçu de la hiérarchisation du rattrapage. La condition de chaque calculateur est évaluée dans l’ordre, et le premier calculateur correspondant est utilisé.

    Calculateurs de vulnérabilité de l’application

    Le Réponse aux vulnérabilités des applications système de base comprend deux calculateurs de vulnérabilité qui définissent le score de risque de base sur l’élément vulnérable de l’application.
    • Calculateur de risque de base
    • Calculateur Advanced Risk

    Les calculateurs de vulnérabilité de l’application peuvent être créés pour hiérarchiser et évaluer l’impact des AVI en fonction de n’importe quel critère à l’aide de filtres de condition. Qu’il s’agisse de l’impact de la vulnérabilité sur l’entreprise, de la classe de l’élément de configuration (CI) ou de l’âge de l’AVI, vous pouvez créer des calculateurs de vulnérabilité supplémentaires pour définir d’autres champs sur les AVI. Vous pouvez également personnaliser les calculateurs de vulnérabilité existants. Une calculatrice peut être rédigée pour refléter n’importe quel ensemble de priorités. Consultez Filtrage au sein de Gestion de la vulnérabilité des applications pour plus d'informations.

    Les AVI contiennent la valeur du score de risque dérivée des calculateurs de risque.
    Remarque :
    Un AVI affiche la gravité de la source , mais pas la gravité normalisée. La gravité normalisée est utilisée par les calculateurs pour obtenir la valeur du score de risque , mais n’est pas affichée sur les AVI.

    Chaque calculateur contient une liste de règles du calculateur, avec une condition déterminant quand l’appliquer. Lorsque le calculateur est exécuté, la condition de chaque règle est évaluée dans l’ordre et la première règle correspondante est utilisée.

    Tous les calculateurs de vulnérabilité activés définissent les champs sélectionnés chaque fois qu’un AVI est créé, lorsqu’un CI associé ou une vulnérabilité change.

    Le calculateur de risque de base calcule le score de risque pour les AVI en utilisant la gravité de vulnérabilité normalisée.
    Remarque :
    Un seul calculateur par champ cible (score de risque) peut être actif à la fois.

    Le risque de base est activé par défaut. Le calculateur Advanced Risk est désactivé par défaut.

    Règles du calculateur de vulnérabilité de l’application

    Le calculateur de risque de base du système de base contient des règles qui affectent à chaque niveau de gravité (Aucun à Critique) une valeur (0-100) pour le score de risque en fonction de la gravité. Un score de risque de 100 est automatiquement affecté à la gravité inconnue. Ces valeurs peuvent être ajustées et, comme pour le calculateur Advanced Risk, de nouvelles règles de calcul ou de nouvelles règles de risque peuvent être créées.
    Remarque :
    À partir de la version 23.0 de , chaque fois que le score de Réponse aux vulnérabilités des applicationsrisque est mis à jour sur un AVIT, la section Notes est mise à jour avec les détails suivants :
    • Nom du groupe de calculateurs
    • Nom du calculateur : selon que la règle du calculateur est basée sur un modèle ou un script, le nom est ajouté avec les détails entre crochets. Pour modifier ou afficher la base de la règle du calculateur, sélectionnez une règle et cochez la case Vue avancée . Dans la liste déroulante Type de valeur , sélectionnez l’option requise. Si Modèle est sélectionné, le score de risque est mis à jour en fonction de la condition spécifiée dans la règle. Si Script est sélectionné, vous pouvez ajouter ou mettre à jour le script existant. La propriété sn_sec_cmn.risk_score_changes_add_worknotes système permet de renseigner la section Notes de travail. À partir de la version 25.0.3 de Réponse aux vulnérabilités des applications, la propriété sn_sec_cmn.risk_score_changes_add_worknotes système est inactive par défaut. Si vous l’activez, vous pouvez alors seulement voir tous les changements liés au score de risque d’un élément vulnérable d’application dans la section Notes de travail. En outre, les notes de travail ne sont mises à jour qu’en cas de changement du score de risque.
    Le calculateur Advanced Risk du système de base contient une règle de calcul de vulnérabilité spécialisée appelée Règle de risque par défaut. Il calcule le score de risque en fonction de plusieurs valeurs :
    • Gravité de la vulnérabilité
    • 10 premiers OWASP
    • SANS Top 25
    Vous pouvez personnaliser les critères de la règle de risque par défaut. Pour plus d'informations, consultez Définir des champs et des poids pour la règle de risque.

    Vous pouvez ajuster les valeurs à utiliser dans la règle de risque par défaut et le poids à donner à chacune de ces valeurs. Les poids sont utilisés pour ajuster le nombre de chaque élément lors de la définition du score de risque.

    Chaque règle a un paramètre d’ordre . Cependant, la première à correspondre aux conditions met à jour le champ de score de risque dans l’AVI. Les règles de calculateur non scriptées ont généralement un impact moindre sur les performances que les règles de calculateur scriptées.

    Poids du score de risque de vulnérabilité

    Toutes les vulnérabilités se voient attribuer un score de risque et une cote de risque en fonction de facteurs tels que la gravité, la criticité, les informations sur l’exploitation, et ainsi de suite. La règle Update Risk Rating from Risk Score métier de la table des éléments vulnérables est responsable du calcul de la cote de risque. Chaque fois que le score de risque change, la cote de risque est calculée et renseignée pour les éléments vulnérables. Avant la version 17.1 de l’application Réponse aux vulnérabilités (VR), les cotes de risque suivantes étaient fournies dans le cadre du script include VulnerabilityUtils, qui étaient codées en dur.
    Valeur (cote de risque) Poids (score de risque)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    À partir de la version 18.0 de Réponse aux vulnérabilités,
    • Les types de cote de risque sont expédiés dans la table de base sous forme de avr_risk_rating. Ces types sont transmis dans le cadre de la règle métier sur chaque table où la cote de risque est calculée.
    • Le script a été modifié afin que vous puissiez interroger les entrées dans les valeurs de la table Poids du score de risque pour le calcul de la cote de risque.
    • Ajoutez des entrées supplémentaires pour un type existant ou créez-en un nouveau. Lorsque vous créez un nouveau type, assurez-vous d’ajouter les étiquettes pour la nouvelle cote de risque et de modifier les scripts et les règles métier associés. Vous devez également ajouter un nouveau style pour le nouveau score de risque.
    • Modifiez le script pour interroger les enregistrements dans la table de base.
    Vous pouvez accéder à la table des pondérations des scores de risque en saisissant sn_sec_cmn_risk_score_weight dans le navigateur de filtre.
    En outre, le score de risque est automatiquement recalculé dans les scénarios suivants :
    • Lorsqu’un élément de configuration (CI) passe d’un mode non accessible sur Internet à un élément accessible sur Internet.
    • Lorsque les vulnérabilités et expositions communes (CVE) ou les entrées tierces (TPE) associées sur les éléments de vulnérabilité (VI) sont liées à une vulnérabilité d’exploitation connue (KEV) CVE.