Risiko in Application Vulnerability Response automatisch berechnen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Anwendungsschwachstellen-Rechner automatisieren die Berechnung der anfänglichen Risikowerte für die Felder in angreifbaren Elementen in Anwendungen (AVIs). Risikoberechnungen bieten Einblicke in die Priorisierung von Remediationen. Die Bedingung für jeden Rechner wird der Reihe nach ausgewertet, und der erste übereinstimmende Rechner wird verwendet.

    Anwendungsschwachstellen-Rechner

    Das Application Vulnerability Response Basissystem enthält zwei Schwachstellenrechner, die die Basis- Risikopunktzahl für das angreifbare Anwendungselement festlegen.
    • Basisrisiko-Rechner
    • Advanced Risk-Rechner

    Anwendungsschwachstellenrechner können erstellt werden, um die Auswirkungen von AVIs basierend auf beliebigen Kriterien mithilfe von Bedingungsfiltern zu priorisieren und zu bewerten. Unabhängig davon, ob es sich um die Geschäftsauswirkung der Schwachstelle, die Klasse des Konfigurationselements (CI) oder das Alter der AVI handelt, können Sie zusätzliche Schwachstellenrechner erstellen, um andere Felder in AVIs festzulegen. Oder Sie können die vorhandenen Schwachstellenrechner anpassen. Ein Rechner kann so geschrieben werden, dass er einen beliebigen Satz von Prioritäten widerspiegelt. Weitere Informationen finden Sie unter Filtern innerhalb Application Vulnerability Management.

    AVIs enthalten den Risikopunktzahlwert, der von den Risikorechnern abgeleitet wird.
    Hinweis:
    Eine AVI zeigt den Quellschweregrad an, aber nicht den normalisierten Schweregrad. Der normalisierte Schweregrad wird von den Rechnern verwendet, um den Risikopunktzahlwert zu erhalten, wird jedoch nicht in AVIs angezeigt.

    Jeder Rechner enthält eine Liste von Rechnerregeln mit einer Bedingung, die bestimmt, wann sie angewendet werden sollen. Wenn der Rechner ausgeführt wird, wird die Bedingung für jede Rechnerregel der Reihe nach ausgewertet, und die erste übereinstimmende Rechnerregel wird verwendet.

    Alle aktivierten Schwachstellenrechner legen die ausgewählten Felder jedes Mal fest, wenn eine AVI erstellt wird, wenn sich ein zugeordnetes CI oder eine Schwachstelle ändert.

    Der Basisrisiko -Rechner berechnet die Risikopunktzahl für AVIs anhand des normalisierten Schwachstellenschweregrads.
    Hinweis:
    Pro Zielfeld (Risikopunktzahl) kann jeweils nur ein Rechner aktiv sein.

    Das Basisrisiko ist standardmäßig aktiviert. Der Advanced Risk Calculator ist standardmäßig deaktiviert.

    Regeln des Anwendungsschwachstellen-Rechners

    Der Basissystem- Rechner des Risikorechners enthält Rechnerregeln, die jeder Schweregradstufe (Keine bis Kritisch) basierend auf dem Schweregrad einen Wert (0 bis 100) für die Risikopunktzahl zuweisen. DemSchweregrad „Unbekannt“ wird automatisch eine Risikopunktzahl von 100 zugewiesen. Diese Werte können angepasst werden, und wie beim erweiterten Risikorechnerkönnen neue Rechnerregeln oder neue Risikoregeln erstellt werden.

    Der Advanced Risk Calculator -Rechner des Basissystems enthält eine spezialisierte Schwachstellen-Rechnerregel mit der Bezeichnung Standardrisikoregel. Sie berechnet die Risikopunktzahl basierend auf mehreren Werten:
    • Schwachstellenschweregrad
    • OWASP Top 10
    • SANS Top 25
    Sie können die Kriterien für die Standardrisikoregel anpassen. Weitere Informationen finden Sie unter Definieren Sie Felder und Gewichtungen für die Risikoregel.

    Sie können die in der Standardrisikoregel zu verwendenden Werte anpassen und festlegen, wie viel Gewichtung jeder dieser Werte erhalten soll. Gewichtungen werden verwendet, um anzupassen, wie viel jedes Element beim Festlegen der Risikopunktzahlzählt.

    Jede Regel hat eine Einstellung für die Reihenfolge. Die erste Übereinstimmung mit den Bedingungen aktualisiert jedoch das Feld Risikopunktzahl in der AVI. Nicht geskriptete Rechnerregeln haben in der Regel weniger Auswirkungen auf die Leistung als geskriptete Rechnerregeln.

    Gewichtungen der Schwachstellen-Risikopunktzahl

    Allen Schwachstellen werden eine Risikopunktzahl und eine Bewertung basierend auf Faktoren wie Schweregrad, Relevanz, Exploit-Informationen usw. zugewiesen. Die Geschäftsregel Update Risk Rating from Risk Score in der Tabelle „Angreifbares Element“ ist für die Berechnung der Risikobewertung verantwortlich. Immer wenn sich die Risikopunktzahl ändert, wird die Risikobewertung berechnet und für die angreifbaren Elemente ausgefüllt. Vor Version 17.1 der Anwendung Vulnerability Response (VR) wurden die folgenden Risikobewertungen als Teil der Skripteinbindung VulnerabilityUtilsbereitgestellt, die hartcodiert war.
    Wert (Risikobewertung) Gewichtung (Risikopunktzahl)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    Ab Version 18.0 von Vulnerability Response,
    • Die Risikobewertungstypen werden in der Basistabelle als avr_risk_rating bereitgestellt. Diese Typen werden als Teil der Geschäftsregel in jeder Tabelle übergeben, in der die Risikobewertung berechnet wird.
    • Das Skript wurde so geändert, dass Sie die Einträge in den Werten der Tabelle „Risikopunktzahlgewichtungen“ für die Risikobewertungsberechnung abfragen können.
    • Fügen Sie zusätzliche Einträge für einen vorhandenen Typ hinzu, oder erstellen Sie einen neuen Typ. Wenn Sie einen neuen Typ erstellen, stellen Sie sicher, dass Sie die Bezeichnungen für die neue Risikobewertung hinzufügen und auch die zugehörigen Skripts und Geschäftsregeln ändern. Sie müssen auch einen neuen Stil für die neue Risikopunktzahl hinzufügen.
    • Ändern Sie das Skript, um die Datensätze in der Basistabelle abzufragen.
    Sie können auf die Tabelle „Gewichtungen der Risikopunktzahl“ zugreifen, indem Sie im Filternavigator sn_sec_cmn_risk_score_weight eingeben.
    Darüber hinaus wird die Risikopunktzahl in den folgenden Szenarien automatisch neu berechnet:
    • Wenn sich ein Konfigurationselement (CI) von „Nicht mit Internetzugriff“ in „Mit Internetzugriff“ ändert.
    • Wenn die zugeordneten Common Vulnerabilities and Exposures (CVEs) oder Drittanbietereinträge (TPEs) für die angreifbaren Elemente (VIs) mit einer CVE Known Exploit Vulnerability (KEV) verknüpft sind