Calculer le risque dans Application Vulnerability Response automatiquement

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Les calculateurs de vulnérabilité de l’application automatisent le calcul des valeurs de risque initiales pour les champs des éléments vulnérables de l’application (AVI). Les calculs des risques permettent de déterminer l’ordre de priorité des mesures correctives. La condition de chaque calculateur est évaluée dans l’ordre, et le premier calculateur correspondant est utilisé.

    Calculateurs de vulnérabilité de l’application

    Le Application Vulnerability Response système de base comprend deux calculateurs de vulnérabilité qui définissent le score de risque de base sur l’élément vulnérable de l’application.
    • Calculateur de risque de base
    • Calculateur Advanced Risk

    Les calculateurs de vulnérabilité des applications peuvent être conçus pour classer par ordre de priorité et évaluer l’impact des AVI en fonction de n’importe quel critère à l’aide de filtres de condition. Qu’il s’agisse de l’impact de la vulnérabilité sur l’entreprise, de la classe de l’élément de configuration (CI) ou de l’âge de l’AVI, vous pouvez créer des calculateurs de vulnérabilité supplémentaires pour définir d’autres champs sur les AVI. Vous pouvez également personnaliser les calculateurs de vulnérabilité existants. Une calculatrice peut être écrite pour refléter n’importe quel ensemble de priorités. Consultez Filtrage au sein de Gestion de la vulnérabilité des applications pour plus d'informations.

    Les AVI contiennent la valeur du score de risque dérivée des calculateurs de risque.
    Remarque :
    Un AVI affiche la gravité de la source , mais pas la gravité normalisée. La gravité normalisée est utilisée par les calculateurs pour obtenir la valeur du score de risque , mais n’est pas affichée sur les AVI.

    Chaque calculatrice contient une liste de règles de calculatrice, avec une condition déterminant quand l’appliquer. Lorsque la calculatrice est exécutée, la condition de chaque règle de calculatrice est évaluée dans l’ordre, et la première règle de calculatrice correspondante est utilisée.

    Tous les calculateurs de vulnérabilité activés définissent les champs sélectionnés chaque fois qu’un AVI est créé, lorsqu’un CI ou une vulnérabilité associé(e) change.

    Le calculateur de risque de base calcule le score de risque pour les AVI à l’aide de la gravité de vulnérabilité normalisée.
    Remarque :
    Un seul calculateur par champ cible (score de risque) peut être actif à la fois.

    Le risque de base est activé par défaut. Le calculateur Advanced Risk est désactivé par défaut.

    Règles du calculateur de vulnérabilité de l’application

    Le calculateur de risque de base du système de base contient des règles de calcul qui attribuent à chaque niveau de gravité (aucun à critique) une valeur (de 0 à 100) pour le score de risque en fonction de la gravité. Un score de risque de 100 est automatiquement affecté à Gravité inconnue. Ces valeurs peuvent être ajustées et, comme le calculateur Advanced Risk, de nouvelles règles du calculateur ou de nouvelles règles de risque peuvent être créées.

    Le calculateur Advanced Risk du système de base contient une règle de calcul de vulnérabilité spécialisée appelée Règle de risque par défaut. Il calcule le score de risque en fonction de plusieurs valeurs :
    • Gravité de la vulnérabilité
    • 10 premiers OWASP
    • SANS Top 25
    Vous pouvez personnaliser les critères de la règle de risque par défaut. Pour plus d'informations, consultez Définir les champs et les poids de la règle de risque.

    Vous pouvez ajuster les valeurs à utiliser dans la règle de risque par défaut et le poids à donner à chacune de ces valeurs. Les poids sont utilisés pour ajuster la part de chaque élément lors de la définition du score de risque.

    Chaque règle dispose d’un paramètre d’ordre , mais la première à correspondre aux conditions met à jour le champ Score de risque dans l’AVI. Les règles de calculateur non scriptées ont généralement moins d’impact sur les performances que les règles de calculateur scriptées.

    Poids du score du risque de vulnérabilité

    Un score et une cote de risque sont attribués à toutes les vulnérabilités en fonction de facteurs tels que la gravité, la criticité, les informations d’exploitation, etc. La règle Update Risk Rating from Risk Score métier de la table d’éléments vulnérables est responsable du calcul de la cote de risque. Chaque fois que le score de risque change, la cote de risque est calculée et renseignée sur les éléments vulnérables. Avant la version 17.1 de l’application Vulnerability Response (VR), les évaluations de risque suivantes étaient fournies dans le cadre du script include VulnerabilityUtils, qui étaient codés en dur.
    Valeur (cote de risque) Poids (score de risque)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    À partir de la version 18.0 de Vulnerability Response,
    • Les types de cote de risque sont expédiés dans la table de base en tant que avr_risk_rating. Ces types sont transmis dans le cadre de la règle métier sur chaque table où la cote de risque est calculée.
    • Le script est modifié de sorte que vous puissiez interroger les entrées dans les valeurs de la table Poids de score de risque pour le calcul de la cote de risque.
    • Ajoutez des entrées supplémentaires pour un type existant ou créez un nouveau type. Lorsque vous créez un nouveau type, assurez-vous d’ajouter les étiquettes de la nouvelle cote de risque, ainsi que de modifier les scripts et les règles métier connexes. Vous devez également ajouter un nouveau style pour le nouveau score de risque.
    • Modifiez le script pour interroger les enregistrements dans la table de base.
    Vous pouvez accéder à la table Poids de score de risque en saisissant sn_sec_cmn_risk_score_weight dans le navigateur de filtre.
    En outre, le score de risque est automatiquement recalculé dans les scénarios suivants :
    • Lorsqu’un élément de configuration (CI) passe d’un mode non connecté à Internet à un mode accessible sur Internet.
    • Lorsque les vulnérabilités et expositions communes (CVE) ou les entrées tierces (TPE) associées sur les éléments de vulnérabilité (VI) sont liées à une vulnérabilité d’exploit connu CVE (KEV).