Gestion de crise de vulnérabilité
Créez et suivez des événements de vulnérabilité critiques via le workflow Vulnerability Crisis Management (VCM). Créez des enregistrements d’évaluation de vulnérabilité, enregistrez les attributs clés de la vulnérabilité pour calculer le risque, effectuez une évaluation pour identifier le niveau d’exposition et impliquez les personnes concernées pour une réponse coordonnée et rapide aux vulnérabilités.
Gérer les événements de crise de vulnérabilité
- Identifiez efficacement les éléments de configuration vulnérables en corrélant les vulnérabilités critiques avec l’inventaire des installations logicielles à partir de l’inventaire Nomenclature logicielle (Gestion des actifs logiciels SBOM), les vulnérabilités signalées par les scanners et Base de données de gestion des configurations (CMDB).
- Convertissez les résultats de l’évaluation en éléments vulnérables pour le rattrapage.
- Initier un incident de sécurité majeur, afin de garantir une réponse rapide et coordonnée à la menace.
- Engagez et collaborez avec les équipes de l’ensemble de l’organisation, facilitant ainsi une réponse unifiée aux vulnérabilités.
- Fournir des rapports d’étape réguliers aux parties prenantes interfonctionnelles et aux équipes impliquées afin de maintenir la transparence et la communication tout au long de la crise.
Gestion de crise de vulnérabilité à l’aide de l’espace de travail d’évaluation de la vulnérabilité
Une fois l’enregistrement d’une vulnérabilité d’intérêt créé, une évaluation des risques est effectuée. Cette évaluation comprend une évaluation structurée des risques, l’examen de l’enregistrement et les observations de l’analyste qui exécute la tâche. Le score de risque initial pour une vulnérabilité d’intérêt est calculé à l’aide des attributs disponibles au moment de la création de l’événement. Le score de risque de l’évaluation peut changer à mesure que des renseignements supplémentaires deviennent disponibles. Utilisez le score des risques pour déterminer l’impact potentiel de l’exploitation et établir des priorités de réponse.
Une fois que l’évaluation d’une vulnérabilité d’intérêt a été créée et qu’elle a déterminé qu’elle présente un risque pour l’infrastructure de l’organisation, vous pouvez analyser la menace plus en détail en mettant à jour l’évaluation des risques avec une évaluation approfondie de l’exposition avec l’inventaire des installations de logiciels à partir de l’inventaire Nomenclature logicielle (SBOM), des vulnérabilités signalées par des scanners et Base de données de gestion des configurations (CMDB).Gestion des actifs logiciels Les éléments de configuration et les applications impactés sont automatiquement identifiés via l’évaluation. Il est possible d’ajouter manuellement des éléments impactés supplémentaires.
Une fois l’évaluation terminée, des éléments vulnérables ou des éléments vulnérables d’applications peuvent être créés pour les résultats d’exposition qui n’ont pas déjà d’élément vulnérable associé. Le calculateur de score des risques des éléments vulnérables peut être exploité/configuré pour ajuster le score de risque pour les éléments vulnérables liés aux enregistrements d’évaluation de vulnérabilité. L’enregistrement d’évaluation de la vulnérabilité peut être affecté au niveau d’exposition et à la priorité de l’événement. En fonction de la priorité de l’événement, le gestionnaire d’événements de vulnérabilité peut choisir de proposer, de promouvoir ou de lier l’évaluation de vulnérabilité à un incident de sécurité majeur.
Utilisez cette fonction Gestion des incidents de sécurité majeurs pour suivre et gérer l’activité de correction, lier les incidents de sécurité en cours, créer des tâches ad hoc, impliquer les équipes affectées, envoyer des rapports d’état et collaborer à l’aide des intégrations de collaboration disponibles dans Gestion des incidents de sécurité majeurs.
ServiceNow® Gestion des actifs logiciels et Nomenclature logicielle (SBOM) une logique d’évaluation-traitement
À l’aide Gestion des actifs logiciels des données, les CPE provenant de NVD pour la CVE, puis les modèles de détection sont extraits à l’aide de la logique de correspondance de chaîne. Après avoir extrait les modèles de détection, une analyse des installations connexes est exécutée, les éléments de configuration connexes sont extraits et la table Élément de configuration affecté est renseignée. Vous pouvez fournir des détails supplémentaires tels que l’éditeur, le produit, la version et l’édition. En fonction de ceux-ci, tous les modèles de détection et les installations de logiciels correspondants pour l’enregistrement sont recherchés. Ensuite, les éléments de configuration connexes sont récupérés et la table Élément de configuration affecté est remplie à nouveau.
Pour SBOM, le logiciel associé pour la CVE de la table connexe (m2m) (entre CVE et Logiciel) est récupéré. Après avoir extrait les détails logiciels, les composants SBOM connexes sont identifiés en faisant correspondre le produit et la version du composant SBOM au produit et à la version du logiciel identifiés.Une fois les composants associés trouvés, les entités associées aux composants sont extraites. Le modèle de produit des entités et le CI associé (s’il en existe) est extrait et l’élément de configuration est enregistré dans la table Élément de configuration affecté. Si l’élément de configuration est exempt d’éléments vulnérables, vous pouvez l’utiliser pour créer l’élément vulnérable. Si aucun élément de configuration n’est trouvé, le modèle de produit est enregistré dans la table Modèle logiciel affecté et peut être utilisé pour créer des éléments vulnérables d’application.
Pour plus d’informations sur l’utilisation du workflow Vulnerability Crisis Management, consultez Utilisation de l’espace de travail Évaluation de la vulnérabilité.