Calcular risco em Application Vulnerability Response automaticamente

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • As calculadoras de vulnerabilidade da aplicação automatizam o cálculo dos valores de risco iniciais para os campos nos itens vulneráveis da aplicação (IVAs). Os cálculos de risco oferecem informações sobre como priorizar a correção. A condição de cada calculadora é avaliada na ordem e a primeira calculadora correspondente é usada.

    Calculadoras de vulnerabilidade da aplicação

    O sistema base Application Vulnerability Response inclui duas calculadoras de vulnerabilidade que definem a pontuação de risco base no item vulnerável da aplicação.
    • Calculadora de risco básico
    • Calculadora do Advanced Risk

    As calculadoras de vulnerabilidade da aplicação podem ser criadas para priorizar e classificar o impacto dos AVIs com base em qualquer critério usando filtros de condição. Seja o impacto nos negócios da vulnerabilidade, a classe do item de configuração (IC) ou a idade do AVI, você pode criar calculadoras de vulnerabilidade adicionais para definir outros campos nos AVIs. Ou você pode personalizar as calculadoras de vulnerabilidade existentes. Uma calculadora pode ser escrita para refletir qualquer conjunto de prioridades. Para obter mais informações, consulte Filtragem em Gerenciamento de vulnerabilidade de aplicação.

    Os AVIs contêm o valor de pontuação de risco derivado das calculadoras de risco.
    Nota:
    Um AVI exibe a severidade de origem, mas não a severidade normalizada. A severidade normalizada é usada pelas calculadoras para obter o valor da pontuação de risco, mas não é mostrada nos AVIs.

    Cada calculadora contém uma lista de regras da calculadora, com uma condição que determina quando aplicá-la. Quando a calculadora é executada, a condição de cada regra da calculadora é avaliada na ordem e a primeira regra da calculadora correspondente é usada.

    Todas as calculadoras de vulnerabilidade habilitadas definem os campos selecionados sempre que um AVI é criado, quando um IC ou vulnerabilidade associada muda.

    A calculadora de risco básico calcula a pontuação de risco para AVIs usando a severidade da vulnerabilidade normalizada.
    Nota:
    Somente uma calculadora por campo de destino (pontuação de risco) pode estar ativa de cada vez.

    O risco básico está habilitado por padrão. A calculadora de risco avançada está desabilitada por padrão.

    Regras da calculadora de vulnerabilidade da aplicação

    A Calculadora de Risco Básica do sistema básico contém regras de calculadora que atribuem a cada nível de severidade (Nenhum a Crítico) um valor (0-100) para a Pontuação de Risco com base na severidade. ASeveridade Desconhecida recebe automaticamente uma pontuação de risco de 100. Esses valores podem ser ajustados e, como a Calculadora de risco avançada, novas regras de calculadora ou novas regras de risco podem ser criadas.

    A Calculadora de risco avançada do sistema básico contém uma regra de calculadora de vulnerabilidade especializada chamada Regra de risco padrão. Ele calcula a pontuação de risco com base em vários valores:
    • Gravidade da vulnerabilidade
    • 10 principais da OWASP
    • 25 principais da SANS
    Você pode personalizar os critérios para a regra de risco padrão. Para obter mais informações, consulte Definir campos e pesos para a regra de risco.

    Você pode ajustar os valores a serem usados na Regra de risco padrão e quanto peso atribuir a cada um desses valores. Os pesos são usados para ajustar o quanto cada elemento conta ao definir a pontuação de risco.

    Cada regra tem uma configuração de Ordem. No entanto, a primeira a corresponder às condições atualiza o campo Pontuação de risco no AVI. Regras de calculadora sem script normalmente criam menos impacto no desempenho do que regras de calculadora com script.

    Ponderações de Pontuação de Risco de Vulnerabilidade

    Todas as vulnerabilidades são atribuídas a uma pontuação de risco e classificação com base em fatores como severidade, criticidade, informações de exploração e assim por diante. A regra de negócios Update Risk Rating from Risk Score na tabela de item vulnerável é responsável pelo cálculo da classificação de risco. Sempre que a pontuação de risco muda, a classificação de risco é calculada e preenchida nos itens vulneráveis. Antes da versão 17.1 da aplicação Vulnerability Response (VR), as classificações de risco a seguir eram fornecidas como parte da inclusão de script VulnerabilityUtils, que eram codificadas.
    Valor (classificação de risco) Peso (pontuação de risco)
    1 90–100
    2 70–89
    3 40–69
    4 1 a 39
    5 0
    Começando com a versão 18.0 de Vulnerability Response,
    • Os tipos de classificação de risco são enviados na tabela base como avr_risk_rating. Esses tipos são passados como parte da regra de negócios em cada tabela em que a classificação de risco é calculada.
    • O script foi modificado para que você possa consultar as entradas nos valores da tabela Ponderações de pontuação de risco para o cálculo da classificação de risco.
    • Adicione entradas adicionais para um tipo existente ou crie um novo tipo. Ao criar um novo tipo, certifique-se de adicionar os rótulos para a nova classificação de risco e também de modificar os scripts e as regras de negócios relacionados. Você também deve adicionar um novo estilo para a nova pontuação de risco.
    • Modifique o script para consultar os registros na tabela base.
    Você pode acessar a tabela Ponderações de pontuação de risco inserindo sn_sec_cmn_risk_score_weight no navegador de filtros.
    Além disso, a pontuação de risco é recalculada automaticamente nos seguintes cenários:
    • Quando um item de configuração (IC) muda de não voltado para a internet para voltado para a internet.
    • Quando as Vulnerabilidades e exposições comuns (CVEs) associadas ou as entradas de terceiros (TPEs) nos itens de vulnerabilidade (IVs) estão vinculadas a uma Vulnerabilidade de exploração conhecida (KEV) de CVE.