Calcular risco em Resposta a vulnerabilidades de aplicações automaticamente
As calculadoras de vulnerabilidade da aplicação automatizam o cálculo dos valores de risco inicial dos campos nos itens vulneráveis da aplicação (IVAs). Os cálculos de risco oferecem informações sobre como priorizar a correção. A condição de cada calculadora é avaliada em ordem e a primeira calculadora correspondente é usada.
Calculadoras de vulnerabilidade da aplicação
- Calculadora de risco básico
- Calculadora do Risco avançado
As calculadoras de vulnerabilidade da aplicação podem ser criadas para priorizar e classificar o impacto dos IVAs com base em qualquer critério usando filtros de condição. Seja o impacto da vulnerabilidade nos negócios, a classe do item de configuração (IC) ou a idade do IVA, você pode criar calculadoras de vulnerabilidade adicionais para definir outros campos nos AVIs. Ou você pode personalizar as calculadoras de vulnerabilidade existentes. Uma calculadora pode ser escrita para refletir qualquer conjunto de prioridades. Para obter mais informações, consulte Filtrando em Gestão de vulnerabilidades de aplicações.
Cada calculadora contém uma lista de regras de calculadora, com uma condição que determina quando aplicá-la. Quando a calculadora é executada, a condição de cada regra de calculadora é avaliada na ordem e a primeira regra de calculadora correspondente é usada.
Todas as calculadoras de vulnerabilidade habilitadas definem os campos selecionados sempre que um AVI é criado, quando um IC associado ou uma vulnerabilidade muda.
O risco básico está habilitado por padrão. A Calculadora de risco avançada está inativa por padrão.
Regras da calculadora de vulnerabilidade da aplicação
- Nome do grupo de calculadoras
- Nome da calculadora: dependendo se a regra da calculadora é baseada em um modelo ou em um script, o nome é acrescentado com os detalhes entre colchetes. Para modificar ou exibir a base da regra da calculadora, selecione qualquer regra e marque a caixa de seleção Exibição avançada. Na caixa suspensa Tipo de valor, selecione a opção necessária. Se o modelo for selecionado, a pontuação de risco será atualizada de acordo com a condição especificada na regra. Se Script estiver selecionado, você poderá adicionar ou atualizar o script existente.
- Gravidade da vulnerabilidade
- 10 principais da OWASP
- 25 principais da SANS
Você pode ajustar os valores a serem usados na Regra de risco padrão e quanto peso atribuir a cada um desses valores. Os pesos são usados para ajustar o quanto cada elemento conta ao definir a Pontuação de risco.
Cada regra tem uma configuração de Ordem, no entanto, a primeira a corresponder às condições atualiza o campo Pontuação de risco no AVI. Regras de calculadora sem script normalmente criam menos impacto no desempenho do que as regras de calculadora com script.
Ponderações de pontuação de risco de vulnerabilidade
| Valor (classificação de risco) | Peso (pontuação de risco) |
|---|---|
| 1 | 90–100 |
| 2 | 70–89 |
| 3 | 40–69 |
| 4 | 1–39 |
| 5 | 0 |
- Os tipos de classificação de risco são enviados na tabela base como avr_risk_rating. Esses tipos são passados como parte da regra de negócio em cada tabela em que a classificação de risco é calculada.
- O script foi modificado para que você possa consultar as entradas nos valores da tabela Ponderações de pontuação de risco para o cálculo da classificação de risco.
- Adicione entradas adicionais para um tipo existente ou crie um novo tipo. Ao criar um novo tipo, certifique-se de adicionar os rótulos para a nova classificação de risco e também de modificar os scripts e regras de negócio relacionados. Você também deve adicionar um novo estilo para a nova pontuação de risco.
- Modifique o script para consultar os registros na tabela base.
- Quando um item de configuração (IC) muda de não voltado para a internet para voltado para a internet.
- Quando as vulnerabilidades e exposições comuns associadas (CVEs) ou entradas de terceiros (TPEs) nos itens de vulnerabilidade (VIs) estão vinculadas a uma vulnerabilidade de exploração conhecida (KEV) de CVE.