Calcule o risco em Resposta a vulnerabilidades de aplicações automaticamente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • As calculadoras de vulnerabilidade da aplicação automatizam o cálculo dos valores de risco iniciais para os campos em Itens vulneráveis à aplicação (Avis). Os cálculos de risco oferecem informações sobre como priorizar a correção. Cada calculadora é avaliada em ordem e a primeira calculadora correspondente é usada.

    Calculadoras de vulnerabilidades da aplicação

    . Resposta a vulnerabilidades de aplicações o sistema de base inclui duas calculadoras de vulnerabilidade que definem a base Pontuação de risco no item vulnerável da aplicação.
    • Calculadora de risco básico
    • Calculadora do Risco avançado

    Calculadoras de vulnerabilidade da aplicação podem ser criadas para priorizar e classificar o impacto do AVIS com base em qualquer critério usando filtros de condição. Seja o impacto comercial da vulnerabilidade, a classe do item de configuração (IC) ou a idade do AVI, você pode criar calculadoras de vulnerabilidade adicionais para definir outros campos no AVIS. Ou você pode personalizar as calculadoras de vulnerabilidade existentes. Uma calculadora pode ser escrita para refletir qualquer conjunto de prioridades. Para obter mais informações, consulte Filtrando em Gestão de vulnerabilidades de aplicações.

    Os Avis contêm Pontuação de risco valor derivado das calculadoras de risco.
    Nota:
    Um AVI é exibido Gravidade da origem gravidade normalizada. A gravidade normalizada é usada pelas calculadoras para obter o. Pontuação de risco Valor, mas não é mostrado na Avis.

    Cada calculadora contém uma lista de regras da calculadora, com uma condição que determina quando aplicá-la. Quando a calculadora é executada, a condição de cada regra da calculadora é avaliada em ordem e a primeira regra da calculadora correspondente é usada.

    Todas as calculadoras de vulnerabilidade habilitadas definem os campos selecionados sempre que um AVI é criado, quando um IC associado ou uma vulnerabilidade muda.

    . Risco básico a calculadora calcula Pontuação de risco Para AVIS usando a severidade da vulnerabilidade normalizada.
    Nota:
    Apenas uma calculadora por campo de destino ( Pontuação de risco ) pode estar ativo por vez.

    . Risco básico está habilitado por padrão. . Calculadora avançada de risco está inativo por padrão.

    Regras da calculadora de vulnerabilidades da aplicação

    O sistema de base Calculadora básica de risco A calculadora contém regras de calculadora que atribuem a cada nível de gravidade (Nenhum a Crítico) um valor (0-100) para Pontuação de risco com base na gravidade. Gravidade desconhecida é atribuída automaticamente uma pontuação de risco de 100. Esses valores podem ser ajustados e, como Calculadora avançada de risco novas regras de calculadora ou novas regras de risco podem ser criadas.
    Nota:
    A partir da v23.0 de Resposta a vulnerabilidades de aplicações Sempre que a pontuação de risco é atualizada em um AVIT, o. Anotações a seção é atualizada com os seguintes detalhes:
    • Nome do grupo de calculadora
    • Nome da calculadora: Dependendo se a regra da calculadora é baseada em um modelo ou script, o nome é anexado com os detalhes entre colchetes. Para modificar ou exibir a base da regra da calculadora, selecione qualquer regra e selecione Exibição avançada caixa de seleção. Em Tipo de valor caixa suspensa, selecione a opção necessária. Se Modelo selecionado, a pontuação de risco é atualizada de acordo com a condição especificada na regra. Se Script selecionado, você pode adicionar ou atualizar o script existente. A propriedade do sistema sn_sec_cmn.risk_score_changes_add_worknotesAjuda a preencher a seção de anotações de trabalho. A partir da v25.0.3 de Resposta a vulnerabilidades de aplicações, a propriedade do sistema sn_sec_cmn.risk_score_changes_add_worknotesestá inativo por padrão. Somente se você habilitá-lo, poderá ver todas as mudanças relacionadas à pontuação de risco de um item vulnerável à aplicação na seção Anotações de trabalho. Além disso, as anotações de trabalho serão atualizadas somente se houver uma mudança na pontuação de risco.
    O sistema de base Calculadora avançada de risco a calculadora contém uma regra de calculadora de vulnerabilidade especializada chamada Regra de risco padrão . Calcula Pontuação de risco com base em vários valores:
    • Gravidade da vulnerabilidade
    • 10 principais da OWASP
    • 25 principais da SANS
    Você pode personalizar os critérios da regra de risco padrão. Para obter mais informações, consulte Defina campos e pesos para a regra de risco.

    Você pode ajustar os valores a serem usados no Regra de risco padrão e quanto peso dar a cada um desses valores. Os pesos são usados para ajustar o quanto cada elemento conta ao definir Pontuação de risco .

    Cada regra tem um Pedido no entanto, o primeiro a corresponder às condições atualiza o. Pontuação de risco Campo no AVI. As regras da calculadora sem script normalmente criam menos impacto no desempenho do que as regras da calculadora com script.

    Pesos da pontuação de risco de vulnerabilidade

    Todas as vulnerabilidades recebem uma pontuação de risco e classificação com base em fatores como gravidade, criticidade, informações de exploração e assim por diante. A regra de negócio Update Risk Rating from Risk Scorena tabela de item vulnerável é responsável por calcular a classificação de risco. Sempre que a pontuação de risco muda, a classificação de risco é calculada e preenchida nos itens vulneráveis. Versão 17,1 do Resposta a vulnerabilidades(VR), as seguintes classificações de risco foram fornecidas como parte da inclusão de script VulnerabilityUtils , que foram codificados.
    Valor (classificação de risco) Peso (pontuação de risco)
    1 90–100
    2 70–89
    3 40–69
    4 1 a 39
    5 0
    A partir da versão 18,0 do Resposta a vulnerabilidades,
    • Os tipos de classificação de risco são enviados na tabela base como avr_risk_rating. Esses tipos são aprovados como parte da regra de negócios em cada tabela em que a classificação de risco é calculada.
    • O script é modificado para que você possa consultar as entradas nos valores da tabela Ponderações da pontuação de risco para cálculo de classificação de risco.
    • Adicione entradas adicionais para um tipo existente ou crie um novo tipo. Ao criar um novo tipo, certifique-se de adicionar os rótulos para a nova classificação de risco e também modificar os scripts relacionados e as regras de negócios. Você também deve adicionar um novo estilo para a nova pontuação de risco.
    • Modifique o script para consultar os registros na tabela base.
    Você pode acessar a tabela Ponderações da pontuação de risco inserindo sn_sec_cmn_risk_score_weight no navegador de filtros.
    Além disso, a pontuação de risco é recalculada automaticamente nos seguintes cenários:
    • Quando um item de configuração (IC) muda de não voltado para a internet.
    • Quando as Vulnerabilidades e exposições comuns (CVEs) associadas ou entradas de terceiros (TPEs) nos itens de vulnerabilidade (VIS) estão vinculadas a uma Vulnerabilidade de exploração conhecida (KEV) da CVE.