Gestion de crise de vulnérabilité
Créez et suivez les événements de vulnérabilité critiques via le workflow Gestion de crise de vulnérabilité (VCM). Créez des enregistrements d’évaluation des vulnérabilités, enregistrez les attributs clés de la vulnérabilité pour calculer le risque, effectuez une évaluation pour identifier le niveau d’exposition et impliquez les personnes concernées pour une réponse coordonnée et rapide aux vulnérabilités.
Gestion des événements de crise de vulnérabilité
- Identifiez efficacement les éléments de configuration vulnérables en corrélant les vulnérabilités critiques avec l’inventaire des installations logicielles à partir de l’inventaire Nomenclature logicielle (Gestion des actifs logiciels SBOM), les vulnérabilités signalées par les scanners et Base de données de gestion des configurations (CMDB).
- Convertissez les résultats de l’évaluation en éléments vulnérables pour le rattrapage.
- Déclencher un incident de sécurité majeur pour garantir une réponse rapide et coordonnée à la menace.
- Engagez et collaborez avec les équipes de l’ensemble de l’organisation pour faciliter une réponse unifiée aux vulnérabilités.
- Fournir des rapports d’étape réguliers aux parties prenantes interfonctionnelles et aux équipes impliquées afin de maintenir la transparence et la communication tout au long de la crise.
Gestion de crise de vulnérabilité à l’aide de l’espace de travail Évaluation de la vulnérabilité
Une fois l’enregistrement d’une vulnérabilité d’intérêt créé, une évaluation des risques est effectuée. Cette évaluation comprend la notation structurée des risques, l’examen de l’enregistrement et les observations de l’analyste qui exécute la tâche. Le score de risque initial pour une vulnérabilité d’intérêt est calculé à l’aide des attributs disponibles au moment de la création de l’événement. Le score de risque pour l’évaluation peut changer à mesure que des informations supplémentaires deviennent disponibles. Utilisez le score de risque pour déterminer l’impact potentiel de l’exploitation et établir les priorités de réponse.
Une fois que l’évaluation d’une vulnérabilité d’intérêt a été créée et déterminée comme présentant un risque pour l’infrastructure de l’organisation, vous pouvez analyser la menace plus en détail en mettant à jour l’évaluation des risques avec une évaluation approfondie de l’exposition avec l’inventaire des installations logicielles de ( Nomenclature logicielle SBOM) inventaireGestion des actifs logiciels, les vulnérabilités signalées par les scanners et Base de données de gestion des configurations (CMDB). Les éléments de configuration et les applications impactés sont automatiquement identifiés par évaluation. Des éléments concernés supplémentaires peuvent être ajoutés manuellement.
Une fois l’évaluation terminée, des éléments vulnérables ou des éléments vulnérables d’applications peuvent être créés pour les résultats d’exposition qui n’ont pas déjà d’élément vulnérable associé. Le calculateur de score de risque des éléments vulnérables peut être exploité/configuré pour ajuster le score de risque pour les éléments vulnérables liés aux enregistrements d’évaluation de vulnérabilité. L’enregistrement d’évaluation de vulnérabilité peut être affecté au niveau d’exposition et à la priorité d’événement. En fonction de la priorité de l’événement, le gestionnaire d’événements de vulnérabilité peut choisir de proposer, de promouvoir ou de lier l’évaluation de la vulnérabilité à un incident de sécurité majeur.
Utilisez cette fonction Gestion des incidents de sécurité majeurs pour suivre et gérer les activités de rattrapage, lier les incidents de sécurité en cours, créer des tâches ad hoc, impliquer les équipes affectées, envoyer des rapports d’état et collaborer à l’aide des intégrations de collaboration disponibles dans Gestion des incidents de sécurité majeurs.
ServiceNow® Gestion des actifs logiciels et Nomenclature logicielle (SBOM) une logique d’évaluation et de traitement
À l’aide Gestion des actifs logiciels des données, les CPE provenant de NVD pour les CVE, puis les modèles de détection sont récupérés à l’aide de la logique de correspondance de chaîne. Une fois les modèles de détection extraits, une analyse des installations connexes est exécutée, les éléments de configuration connexes sont récupérés et la table Élément de configuration affecté est renseignée. Vous pouvez fournir des détails supplémentaires tels que l’éditeur, le produit, la version et l’édition. En fonction de ces éléments, tous les modèles de détection et les installations de logiciels correspondants pour l’enregistrement sont récupérés. Ensuite, les éléments de configuration connexes sont récupérés et la table Élément de configuration affecté est remplie à nouveau.
Pour SBOM, le logiciel associé pour les CVE à partir de la table connexe (m2m) (entre CVE et le logiciel) est récupéré. Après avoir extrait les détails logiciels, les composants SBOM connexes sont identifiés en faisant correspondre le produit et la version du composant SBOM au produit et à la version du logiciel identifiés.Une fois les composants associés trouvés, les entités associées aux composants sont extraites. Le modèle de produit des entités et le CI associé (s’il est trouvé) sont récupérés et l’élément de configuration est enregistré dans la table Élément de configuration affecté. Si l’élément de configuration est exempt d’éléments vulnérables, vous pouvez l’utiliser pour créer l’élément vulnérable. Si aucun élément de configuration n’est trouvé, le modèle de produit est enregistré dans la table Modèle logiciel affecté et peut être utilisé pour créer des éléments vulnérables de l’application.
Pour plus d’informations sur l’utilisation du workflow Gestion de crise de vulnérabilité, consultez Utilisation de l’espace de travail Évaluation de la vulnérabilité.