Schwachstellen-Krisenmanagement
Erstellen und verfolgen Sie kritische Schwachstellen-Ereignisse über den Vulnerability Crisis Management-Workflow. Erstellen Sie Schwachstellenbewertungsdatensätze, erfassen Sie Schlüsselattribute der Schwachstelle, um das Risiko zu berechnen, führen Sie eine Bewertung durch, um das Gefährdungsniveau zu ermitteln, und beziehen Sie Stakeholder ein, um eine koordinierte und schnelle Reaktion auf Schwachstellen zu erhalten.
Verwalten von Schwachstellen-Krisenevents
- Identifizieren Sie angreifbare Konfigurationselemente effizient, indem Sie kritische Schwachstellen mit dem Softwareinstallationsbestand aus Software Asset Management und Software Bill of Materials (SBOM), vom Scanner gemeldeten Schwachstellen und Configuration Management Database (CMDB)korrelieren.
- Konvertieren Sie Bewertungsergebnisse in angreifbare Elemente zur Korrektur.
- Initiieren Sie einen schwerwiegenden Security Incident, um eine schnelle und koordinierte Reaktion auf die Bedrohung sicherzustellen.
- Arbeiten Sie mit Teams im gesamten Unternehmen zusammen, um eine einheitliche Reaktion auf Schwachstellen zu ermöglichen.
- Stellen Sie funktionsübergreifenden Stakeholdern und beteiligten Teams regelmäßige Statusberichte bereit, um während der Krise Transparenz und Kommunikation zu gewährleisten.
Vulnerability Crisis Management mit dem Arbeitsbereich für Schwachstellenbewertungen
Bei der Identifizierung einer relevanten Schwachstelle erstellt der Schwachstellen-Ereignismanager einen Schwachstellenbewertungsdatensatz mit Informationen zur Threat Intelligence-Quelle, den Schwachstellenmerkmalen und den betroffenen Produkten. Diese Informationen werden für weitere Auswirkungs- und Gefährdungsanalysen verwendet.
Nachdem der Datensatz für eine relevante Schwachstelle erstellt wurde, wird eine Risikobewertung durchgeführt. Diese Bewertung umfasst die strukturierte Risikobewertung, die Überprüfung des Datensatzes und die Beobachtungen des Analysten, der die Aufgabe ausführt. Die anfängliche Risikopunktzahl für eine relevante Schwachstelle wird anhand der Attribute berechnet, die zum Zeitpunkt der Event-Erstellung verfügbar sind. Die Risikopunktzahl für die Bewertung kann sich ändern, wenn zusätzliche Informationen verfügbar werden. Verwenden Sie die Risikopunktzahl, um die potenziellen Auswirkungen der Ausnutzung zu bestimmen und Antwortprioritäten festzulegen.
Nachdem die Bewertung für eine Schwachstelle von Interesse erstellt und festgestellt wurde, dass sie ein Risiko für die Infrastruktur der Organisation darstellt, können Sie die Bedrohung weiter analysieren, indem Sie die Risikobewertung mit einer eingehenden Risikobewertung mit dem Softwareinstallationsbestand von Software Asset Management, Software Bill of Materials aktualisieren. (SBOM)-Bestand, vom Scanner gemeldete Schwachstellen und Configuration Management Database (CMDB). Betroffene Konfigurationselemente und Anwendungen werden automatisch durch eine Bewertung identifiziert. Zusätzliche betroffene Elemente können manuell hinzugefügt werden.
Sobald die Bewertung abgeschlossen ist, können angreifbare Elemente oder angreifbare Anwendungselemente für die Gefährdungsergebnisse erstellt werden, denen noch kein angreifbares Element zugeordnet ist. Der Risikopunktzahl-Rechner für angreifbare Elemente kann genutzt/konfiguriert werden, um die Risikopunktzahl für angreifbare Elemente anzupassen, die mit Schwachstellenbewertungsdatensätzen verknüpft sind. Dem Schwachstellenbewertungsdatensatz können eine Gefährdungsstufe und eine Ereignispriorität zugewiesen werden. Basierend auf der Event-Priorität kann der Manager für Schwachstellenereignisse die Schwachstellenbewertung mit einem schwerwiegenden Security Incident vorschlagen, heraufstufen oder verknüpfen.
Verwenden Sie Management schwerwiegender Sicherheits-Incidents, um Korrekturaktivitäten nachzuverfolgen und zu verwalten, laufende Security Incidents zu verknüpfen, Ad-hoc-Aufgaben zu erstellen, betroffene Teams einzubeziehen, Statusberichte zu senden und mithilfe der in Management schwerwiegender Sicherheits-Incidentsverfügbaren Zusammenarbeitsintegrationen zusammenzuarbeiten.
ServiceNow® Software Asset Management und Software Bill of Materials (SBOM) Bewertungsverarbeitungslogik
Unter Verwendung der Daten Software Asset Management werden die CPEs aus NVD für das CVE und dann die Erkennungsmodelle mithilfe der Zeichenfolgenabgleichslogik abgerufen. Nach dem Abrufen der Discovery-Modelle wird ein Scan nach zugehörigen Installationen ausgeführt, die zugehörigen Konfigurationselemente werden abgerufen und die Tabelle „Betroffene Konfigurationselemente“ wird ausgefüllt. Sie können weitere Details wie Herausgeber, Produkt, Version und Edition angeben. Darauf aufbauend werden alle übereinstimmenden Discovery-Modelle und die Softwareinstallationen für den Datensatz abgerufen. Anschließend werden die zugehörigen Konfigurationselemente abgerufen und die Tabelle „Betroffene Konfigurationselemente“ wird erneut ausgefüllt.
Für SBOMwird die zugehörige Software für das CVE aus der zugehörigen Tabelle (m2m) (zwischen CVE und Software) abgerufen. Nach dem Abrufen der Softwaredetails werden die zugehörigen SBOM-Komponenten identifiziert, indem das Produkt und die Version aus der SBOM-Komponente mit dem Produkt und der Version der identifizierten Software abgeglichen werden.Nachdem die zugeordneten Komponenten gefunden wurden, werden die mit den Komponenten verbundenen Entitäten abgerufen. Das Produktmodell aus den Entitäten und das zugehörige CI (falls gefunden) werden abgerufen, und das Konfigurationselement wird in der Tabelle „Betroffene Konfigurationselemente“ gespeichert. Wenn das Konfigurationselement keine angreifbaren Elemente enthält, können Sie es zum Erstellen des angreifbaren Elements verwenden. Wenn kein Konfigurationselement gefunden wird, wird das Produktmodell in der Tabelle „Betroffenes Softwaremodell“ gespeichert und kann zum Erstellen von angreifbaren Anwendungselementen verwendet werden.
Weitere Informationen zur Verwendung des Vulnerability Crisis Management-Workflows finden Sie unter Arbeitsbereich„Schwachstellenbewertung“ verwenden.