Explorer l’évaluation de l’exposition

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • L’évaluation de l’exposition utilise le cadre de travail CPE (Common Platform Enumeration), qui fait partie du système CVE (Common Vulnerabilities and Exposures), pour évaluer l’exposition de vos actifs aux logiciels de vulnérabilité. Cette évaluation est réalisée à l’aide d’un modèle de détection de logiciels.

    En utilisant un algorithme d’appariement, les CPE pertinents sont associés et mappés au modèle de détection de logiciels, ce qui permet d’identifier les expositions potentielles.

    Vous pouvez utiliser l’évaluation de l’exposition par CVE ou un logiciel pour identifier l’exposition à des vulnérabilités potentielles pour les scénarios suivants :
    • Vulnérabilités qui peuvent ne pas être identifiées par les scanners traditionnels
    • Vulnérabilités zero-day avant que le scanner ne fournisse la signature pour la détection des vulnérabilités
    L’évaluation de l’exposition fournit un avertissement précoce pour corriger ces vulnérabilités et améliorer la maturité du programme de gestion des vulnérabilités.
    Conditions préalables à l’évaluation de l’exposition
    Tableau 1. Versions disponibles
    Application Version

    Module d’extension Vulnerability Crisis Management

    		 1.0
    Réponse aux vulnérabilités 20.0
    Réponse aux vulnérabilités avec NVD 1.3
    Vulnerability Response Integration with CISA 1.2
    Intégration de Vulnerability Response avec NVD
    Remarque :
    Pour plus d'informations, consultez Présentation des intégrations NVD.
    		 1.3
    Gestion des actifs logiciels Module d'extension Software Asset Management Foundation ou Gestion des actifs logiciels - Professional module d’extension

    Cas d'utilisation

    Pour obtenir des exemples sur la façon dont l’organisation des analystes de vulnérabilité utiliserait l’espace de travail Évaluation de l’exposition à la vulnérabilité, consultez ces cas d’utilisation.
    Type d'évaluation Utiliser
    Évaluer par CVE Évaluez les vulnérabilités par CVE afin de bien comprendre l’impact et l’exposition des systèmes affectés à l’aide Gestion des actifs logiciels de (SAM) et Découverte des données. Prenez des mesures de rattrapage rapides en créant des VIT manuels et en les affectant aux propriétaires de rattrapage. L’évaluation par CVE est utile car les scanners peuvent ne pas détecter tous les systèmes affectés, alors qu’ils Découverte identifient généralement la plupart des logiciels sur la surface d’attaque.
    Évaluer par logiciel

    Évaluez l’impact par logiciel lorsque CVE n’est pas disponible pour identifier le nombre de CI sur lesquels le logiciel est installé. Grâce à l’évaluation par logiciel, vous pouvez agir de manière proactive sur les vulnérabilités critiques ou de type « zero-day » en créant un VIT manuel et en l’affectant au propriétaire de la correction avant qu’elles ne soient officiellement publiées ou avant que les scanners ne les identifient.
    Évaluer par éditeur Évaluez les vulnérabilités d’un fournisseur de logiciel afin de comprendre l’impact et l’exposition des systèmes affectés pour les CVE publiées par le fournisseur dans un délai donné. L’évaluation par éditeur vous aide à évaluer le risque et les vulnérabilités critiques du fournisseur, ce qui permet une correction proactive.

    Compatibilité et configuration requise

    L’application Réponse aux vulnérabilités est disponible sur le ServiceNow Store. L’application Gestion des actifs logiciels pour ITSM (com.snc.asset_management) est requise pour le module d’évaluation de l’exposition. Cette application gère l’ensemble de vos actifs et licences logicielles, et la SAM Foundation version de cette application fait partie de l’application Réponse aux vulnérabilités que vous téléchargez à partir du ServiceNow Store.
    Important :
    L’application d’évaluation de l’exposition fonctionne avec les modules d’extension suivants :
    • Module d'extension Software Asset Management Foundation (com.snc.sams)
    • Gestion des actifs logiciels - Professional (com.snc.pa.samp)
    • Module d'extension de gestion des actifs logiciels (com.snc.software_asset_management)

    Pour vérifier que l’application SAM Foundation est installée sur votre instance, accédez à Applications système > Toutes les applications disponibles > Tout et recherchez com.snc.asset_management. Si l’application n’est pas installée, sélectionnez Installer. Étant donné que l’application d’évaluation de l’exposition aux vulnérabilités nécessite l’accès aux données d’actif sur votre Now Platform® instance, les applications de gestion des actifs doivent disposer de données à référencer. La table Modèles de détection de logiciels (cmdb_sam_sw_discovery_model) et les installations de logiciels (cmdb_sam_sw_install) exigent des données.

    Champs d’algorithme de correspondance pour les modèles de détection de logiciels

    L’application Gestion des actifs logiciels - Professional vous permet de modifier un modèle de détection de logiciels afin de normaliser manuellement les logiciels détectés qui n’ont pas été entièrement normalisés (partiellement normalisés, normalisés par l’éditeur ou correspondance introuvable) sur le formulaire des modèles de découverte de logiciels afin qu’il puisse être rapproché. À partir de la version 20.0 de Réponse aux vulnérabilités prend en charge le modèle de détection normalisé qui provient de Gestion des actifs logiciels - Professional. Les champs suivants sont utilisés pour l’algorithme de correspondance des modèles de détection de logiciels.
    CPE (modèle logiciel) Fondations SAM SAM professionnel
    Fournisseur Clé primaire Clé primaire
    Produit Nom d'affichage Nom d'affichage
    Version Éditeur détecté Éditeur détecté
    Édition Produit détecté Produit détecté
    Version détectée Version détectée
    Éditeur normalisé
    Produit normalisé
    Version normalisée
    Remarque :
    L’application SAM Professional ne fait pas partie du produit principal Réponse aux vulnérabilités de et ServiceNow Store nécessite un abonnement distinct.

    Propriété système

    Pour traiter automatiquement les vulnérabilités exploitées par CISA pour l’évaluation de l’exposition, définissez la propriété sn_vul_analyst.enable_exposure_for_cisa système sur true. La valeur par défaut est false.

    Travaux planifiés

    Voici les travaux planifiés.

    Nom de la tâche planifiée Description
    Vérifier l’exposition potentielle à la vulnérabilité Traite les CVE delta, les logiciels et les installations pour obtenir l’exposition.
    Remarque :
    Cette tâche planifiée s’exécute toutes les 12 heures. Il s’exécute pendant une période plus longue que les autres travaux planifiés.
    Insérer un CVE exploité par CISA dans la configuration d’exposition Sur demande. Insère les CVE CISA dans la table Configuration de l’exposition pour calculer l’exposition.
    Exécuter l’évaluation de l’exposition pour les CVE configurés Sur demande. Calcule l’exposition pour tous les enregistrements CVE dans la table Configuration de l’exposition.
    Exécuter l’exposition logicielle Sur demande. Calcule l’exposition pour tous les enregistrements logiciels dans la table Configuration de l’exposition.

    Termes clés

    • Score de confiance : Un score de confiance est une mesure de la fiabilité de la fourniture d’une recommandation pour un champ. Plus le score est élevé, plus la recommandation est fiable. Pour des exemples de calculs, reportez-vous à la section Exemple de calcul du score de confiance.
    • Nombre d’installations logicielles : Nombre d’actifs logiciels impactés par la vulnérabilité.
    • Modèle logiciel : Modèle logiciel associé au produit. Explorez le modèle logiciel pour voir le résultat du modèle logiciel. Pour plus d'informations, consultez Software Asset Management Foundation plugin discovery models and software installations.

    Le champ Nombre d’installations de logiciels fournit le nombre total d’installations de logiciels, quel que soit leur état actif ou inactif sur le modèle de détection. À partir de la version 22.0 de , une nouvelle propriété système, , a été introduite pour déterminer si les installations logicielles inactives doivent être filtrées pour l’évaluation de l’exposition Réponse aux vulnérabilitéssn_vul.filter_inactive_sw_installs Par défaut, la propriété est activée dans le système de base. Lorsque le filtre est activé, seules les installations actives sont affichées.

    Le champ Modèle de détection indique spécifiquement le nombre d’installations de logiciels actives, car les installations inactives sont filtrées en fonction du filtre par défaut actif=vrai dans la table Modèle de découverte de logiciels. Le nombre de ce champ doit correspondre au nombre filtré affiché dans le champ Nombre d’installation de logiciel . Le nombre indiqué dans le champ Installation de logiciel persiste même si vous mettez à jour la propriété système. Pour obtenir le nombre mis à jour, vous devez exécuter les travaux Run exposure assessment for configured CVEs planifiés et Run software exposure that updates the count.