노출 평가 살펴보기
노출 평가는 CVE(Common Vulnerabilities and Exposures) 시스템의 일부인 CPE(Common Platform Enumeration) 프레임워크를 사용하여 취약성 소프트웨어에 대한 자산의 취약성 노출을 평가합니다. 이 평가는 소프트웨어 검색 모델을 사용하여 수행됩니다.
일치 알고리즘을 사용하여 관련 CPE가 소프트웨어 검색 모델에 연결 및 매핑되어 잠재적 노출을 식별할 수 있습니다.
- 기존 스캐너로는 식별할 수 없는 취약성
- 스캐너가 취약성 탐지를 위한 서명을 제공하기 전의 제로 데이 취약성
| 애플리케이션 | 버전 |
|---|---|
| 취약성 위기 관리 플러그인 |
1.0 |
| 취약성 대응 | 20.0 |
| 취약성 대응 NVD 포함 | 1.3 |
| Vulnerability Response Integration with CISA | 1.2 |
| NVD와의 취약성 대응 통합 주: 자세한 내용은 NVD 통합 이해 문서를 참조하십시오. |
1.3 |
| 소프트웨어 자산 관리 | Software Asset Management Foundation 플러그인 또는 소프트웨어 자산 관리 전문가 플러그인 |
사용 케이스
| 평가 유형 | 사용 |
|---|---|
| CVE별 평가 | CVE별로 취약성을 평가하여 (SAM) 및 디스커버리 데이터를 사용하여 소프트웨어 자산 관리 영향을 받는 시스템의 영향과 노출을 완전히 파악합니다. 수동 VIT를 생성하고 정정 소유자에게 할당하여 신속한 정정 작업을 수행합니다. 스캐너는 영향을 받는 시스템을 디스커버리 모두 탐지하지 못할 수 있지만 일반적으로 공격 표면에서 대부분의 소프트웨어를 식별할 수 있으므로 CVE별 평가는 유용합니다. |
| 소프트웨어별 평가 |
CVE를 사용하여 소프트웨어가 설치된 CI 수를 식별할 수 없는 경우 소프트웨어의 영향을 평가합니다. 소프트웨어별로 평가하면 공식적으로 게시되기 전이나 스캐너가 이를 식별하기 전에 수동 VIT를 생성하고 정정 소유자에게 할당하여 제로데이 또는 심각한 취약성에 대해 사전 예방적으로 조치를 취할 수 있습니다. |
| 게시자별 평가 | 소프트웨어 벤더의 취약성을 평가하여 기간 내에 벤더가 게시한 CVE에 대해 영향을 받는 시스템의 영향과 노출을 이해합니다. 게시자별 평가는 벤더 위험과 중요한 취약성을 평가하여 사전 예방적 정정을 가능하게 하는 데 도움이 됩니다. |
호환성 및 시스템 요구 사항
- Software Asset Management Foundation 플러그인 (com.snc.sams)
- 소프트웨어 자산 관리 전문가 (com.snc.pa.samp)
- 소프트웨어 자산 관리 플러그인 (com.snc.software_asset_management)
애플리케이션이 SAM Foundation 인스턴스에 설치되어 있는지 확인하려면 다음으로 이동하십시오. 을 클릭하고 com.snc.asset_management 검색합니다. 애플리케이션이 설치되지 않은 경우 설치를 선택합니다. 취약성 노출 평가 애플리케이션은 인스턴스의 ServiceNow AI Platform® 자산 데이터에 액세스해야 하므로 자산 관리 애플리케이션에는 참조할 데이터가 있어야 합니다. 소프트웨어 검색 모델 테이블(cmdb_sam_sw_discovery_model)과 소프트웨어 설치(cmdb_sam_sw_install)에는 데이터가 필요합니다.
소프트웨어 검색 모델에 대한 일치 알고리즘 필드
| CPE(소프트웨어 모델) | SAM 기초 | SAM 전문가용 |
|---|---|---|
| 벤더 | 기본 키 | 기본 키 |
| 제품 | 표시 이름 | 표시 이름 |
| 버전 | 검색된 게시자 | 검색된 게시자 |
| 에디션 | 검색된 제품 | 검색된 제품 |
| 검색된 버전 | 검색된 버전 | |
| 표준화된 게시자 | ||
| 표준화된 제품 | ||
| 표준화된 버전 |
시스템 속성
노출 평가를 위해 CISA 악용 취약성을 자동으로 처리하려면 시스템 속성을 sn_vul_analyst.enable_exposure_for_cisa 로 true설정합니다. 기본값은 false입니다.
예약된 작업
예약된 작업은 다음과 같습니다.
| 예약된 작업 이름 | 설명 |
|---|---|
| 잠재적 취약성 노출 확인 | 델타 CVE, 소프트웨어 및 설치를 처리하여 노출을 가져옵니다. 주: 이 예약된 작업은 12시간마다 실행됩니다. 이 작업은 다른 예약된 작업보다 더 오랜 기간 동안 실행됩니다. |
| 노출 구성에 CISA 악용 CVE 삽입 | 요청 시 CISA CVE를 노출 구성 테이블에 삽입하여 노출을 계산합니다. |
| 구성된 CVE에 대한 노출 평가 실행 | 요청 시 노출 구성 테이블의 모든 CVE 기록에 대한 노출을 계산합니다. |
| 소프트웨어 노출 실행 | 요청 시 노출 구성 테이블의 모든 소프트웨어 기록에 대한 노출을 계산합니다. |
주요 용어
- 신뢰 점수: 신뢰 점수는 필드에 대한 권장 사항을 제공하는 신뢰성을 측정한 것입니다. 점수가 높을수록 권장 사항의 신뢰성이 높습니다. 샘플 계산은 다음 문서를 참조하십시오 신뢰 점수 계산 예시.
- 소프트웨어 설치 횟수: 취약성의 영향을 받는 소프트웨어 자산 수입니다.
- 소프트웨어 모델: 제품과 연결된 소프트웨어 모델입니다. 소프트웨어 모델을 드릴다운하여 소프트웨어 모델 결과를 확인합니다. 자세한 내용은 Software Asset Management Foundation plugin discovery models and software installations 문서를 참조하십시오.
소프트웨어 설치 카운트 필드는 검색 모델에서의 활성 또는 비활성 상태에 관계없이 총 소프트웨어 설치 수를 나타냅니다. 의 취약성 대응v22.0부터 노출 평가을 위해 비활성 소프트웨어 설치를 필터링해야 하는지 여부를 결정하기 위해 새로운 시스템 속성이 sn_vul.filter_inactive_sw_installs도입되었습니다. 기본적으로 이 속성은 기본 시스템에서 사용하도록 설정되어 있습니다. 필터를 사용하면 활성 설치만 표시됩니다.
검색 모델 필드는 특히 소프트웨어 검색 모델 테이블의 기본 활성=True 필터에 따라 비활성 소프트웨어가 필터링되므로 활성 소프트웨어 설치 수를 보여줍니다. 이 필드의 개수는 소프트웨어 설치 개수 필드에 표시된 필터링된 개수와 일치해야 합니다. 소프트웨어 설치 필드의 카운트는 시스템 속성을 업데이트해도 유지됩니다. 업데이트된 개수를 얻으려면 예약된 작업 Run exposure assessment for configured CVEs 과 Run software exposure that updates the count.