Explorando a avaliação de exposição
A avaliação de exposição usa a estrutura de enumeração de plataforma comum (CPE), que faz parte do sistema de vulnerabilidades e exposições comuns (CVEs), para avaliar a exposição de vulnerabilidade de seus ativos ao software de vulnerabilidade. Esta avaliação é realizada usando um modelo de descoberta de software.
Ao empregar um algoritmo de correspondência, os CPEs relevantes são associados e mapeados para o modelo de descoberta de software, permitindo a identificação de possíveis exposições.
- Vulnerabilidades que podem não ser identificadas por verificadores tradicionais
- Vulnerabilidades de dia zero antes que o scanner forneça a assinatura para detecção de vulnerabilidades
| Aplicação | Versão |
|---|---|
| Plug-in Gestão de crises de vulnerabilidade |
1.0 |
| Resposta a vulnerabilidades | 20,0 |
| Resposta a vulnerabilidades com NVD | 1,3 |
| Vulnerability Response integration with CISA | 1.2 |
| Vulnerability Response Integration with NVD Nota: Para obter mais informações, consulte Noções básicas sobre as integrações do NVD. |
1,3 |
| Gestão de ativos de software | Plug-inPlug-in Software Asset Management Foundation ou Software Asset Management Professional |
Casos de uso
| Tipo de avaliação | Uso |
|---|---|
| Avaliar por CVE | Avalie as vulnerabilidades por CVE para obter uma compreensão completa do impacto e da exposição dos sistemas afetados usando dados Gestão de ativos de software (SAM) e Descoberta. Realize ações de correção imediata criando VITs manuais e atribuindo-os aos responsáveis pela correção. A avaliação por CVEs é benéfica porque os scanners podem não detectar todos os sistemas afetados, enquanto Descoberta normalmente identifica a maior parte do software na superfície de ataque. |
| Avaliar por software |
Avalie o impacto por software quando o CVE não estiver disponível para identificar o número de ICs em que o software está instalado. Ao avaliar por software, você pode agir proativamente em vulnerabilidades de dia zero ou críticas, criando um VIT manual e atribuindo-o ao responsável pela correção antes que ele seja publicado oficialmente ou antes que os scanners o identifiquem. |
| Avaliar por fornecedor | Avalie as vulnerabilidades por um fornecedor de software para entender o impacto e a exposição dos sistemas afetados para os CVEs publicados pelo fornecedor dentro de um intervalo de tempo. A avaliação por fornecedor ajuda a avaliar o risco do fornecedor e as vulnerabilidades críticas, permitindo a correção proativa. |
Compatibilidade e requisitos do sistema
- Plug-in Software Asset Management Foundation (com.snc.sams)
- Software Asset Management Professional (com.snc.pa.samp)
- Plug-in Software Asset Management (com.snc.software_asset_management)
Para verificar se a aplicação SAM Foundation está instalada em sua instância, navegue até e pesquise por com.snc.asset_management. Se a aplicação não estiver instalada, selecione Instalar. Como a aplicação Avaliação de exposição de vulnerabilidade requer acesso aos dados de ativos em sua instância Now Platform®, as aplicações de gestão de ativos devem ter dados para fazer referência. A tabela Modelos de descoberta de software (cmdb_sam_sw_discovery_model) e as instalações de software (cmdb_sam_sw_install) exigem dados.
Campos de algoritmo correspondentes para modelos de descoberta de software
| CPE (modelo de software) | SAM Foundations | SAM profissional |
|---|---|---|
| Fornecedor | Chave primária | Chave primária |
| Produto | Nome para exibição | Nome para exibição |
| Versão | Fornecedor descoberto | Fornecedor descoberto |
| Edição | Produto Descoberto | Produto Descoberto |
| Versão descoberta | Versão descoberta | |
| Fornecedor Normalizado | ||
| Produto normalizado | ||
| Versão normalizada |
Propriedade do sistema
Para processar as vulnerabilidades exploradas pela CISA automaticamente para avaliação de exposição, defina a propriedade do sistema sn_vul_analyst.enable_exposure_for_cisa como true. O valor padrão é false.
Trabalhos programados
A seguir estão os trabalhos agendados.
| Nome do trabalho programado | Descrição |
|---|---|
| Verificar possível exposição a vulnerabilidades | Processa os CVEs delta, o software e as instalações para obter a exposição. Nota: Este trabalho agendado é executado a cada 12 horas. Ele é executado por um período mais longo do que os outros trabalhos agendados. |
| Inserir CVE explorado CISA na configuração de exposição | Sob demanda. Insere os CVEs CISA na tabela Configuração de exposição para calcular a exposição. |
| Executar avaliação de exposição para CVEs configurados | Sob demanda. Calcula a exposição de todos os registros de CVE na tabela Configuração de exposição. |
| Executar exposição de software | Sob demanda. Calcula a exposição de todos os registros de software na tabela Configuração de exposição. |
Termos principais
- Pontuação de confiança: uma pontuação de confiança é uma medida da confiabilidade no fornecimento de uma recomendação para um campo. Quanto maior a pontuação, mais confiável será a recomendação. Para obter exemplos de cálculos, consulte Exemplo de cálculo de pontuação de confiança.
- Contagem de instalação de software: número de ativos de software afetados pela vulnerabilidade.
- Modelo de software: modelo de software associado ao produto. Faça o detalhamento ativo do modelo de software para ver o resultado do modelo de software. Para obter mais informações, consulte Software Asset Management Foundation plugin discovery models and software installations.
O campo Contagem de instalações de software fornece o número total de instalações de software, independentemente do status ativo ou inativo no modelo de descoberta. A partir da v22.0 de Resposta a vulnerabilidades, uma nova propriedade do sistema, sn_vul.filter_inactive_sw_installs, foi introduzida para determinar se as instalações de software inativas devem ser filtradas para avaliação de exposição. Por padrão, a propriedade está habilitada no sistema de base. Quando o filtro está habilitado, somente as instalações ativas são exibidas.
O campo Modelo de descoberta mostra especificamente a contagem de instalações de software ativas, já que as inativas são filtradas com base no filtro ativo=verdadeiro padrão na tabela Modelo de descoberta de software. A contagem neste campo deve corresponder à contagem filtrada exibida no campo Contagem de instalação de software. A contagem no campo Instalação de software persiste mesmo se você atualizar a propriedade do sistema. Para obter a contagem atualizada, você deve executar os trabalhos agendados Run exposure assessment for configured CVEs e Run software exposure that updates the count.