Schwachstellen-Krisenmanagement

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Erstellen und verfolgen Sie kritische Schwachstellenereignisse mithilfe des VCM-Workflows (Vulnerability Crisis Management). Erstellen Sie Schwachstellenbewertungsdatensätze, erfassen Sie Schlüsselattribute der Schwachstelle, um das Risiko zu berechnen, führen Sie Bewertungen durch, um das Gefahrenpotenzial zu identifizieren, und beziehen Sie Stakeholder ein, um eine koordinierte und schnelle Reaktion auf Schwachstellen zu ermöglichen.

    Verwalten von Schwachstellen-Krisenereignissen

    Das Schwachstellen-Krisenmanagement ist ein vollständiger Workflow zur Behandlung von Schwachstellen-Krisenereignissen mit den folgenden Fähigkeiten.
    • Identifizieren Sie angreifbare Konfigurationselemente effizient, indem Sie kritische Schwachstellen mit dem Softwareinstallationsbestand aus dem Bestand Software Asset Management und Software Bill of Materials (SBOM), vom Scanner gemeldeten Schwachstellen und Configuration Management Database (CMDB)korrelieren.
    • Konvertieren Sie Bewertungsergebnisse zur Korrektur in angreifbare Elemente.
    • Initiieren Sie einen schwerwiegenden Security Incident, um eine schnelle und koordinierte Reaktion auf die Bedrohung sicherzustellen.
    • Interagieren Sie mit Teams im gesamten Unternehmen, und arbeiten Sie zusammen, um eine einheitliche Reaktion auf Schwachstellen zu ermöglichen.
    • Stellen Sie funktionsübergreifenden Stakeholdern und beteiligten Teams regelmäßige Statusberichte bereit, um Transparenz und Kommunikation während der Krise aufrechtzuerhalten.

    Vulnerability Crisis Management mit dem Arbeitsbereich für Schwachstellenbewertung

    Hinweis:
    Ab v1.0.1 von Vulnerability Crisis Management ist die Anwendung als separates Abonnement im Store verfügbar. Sie können vom Arbeitsbereich der Schwachstellenbewertung nur dann auf Vulnerability Crisis Management zugreifen, wenn Sie über eine differenzierte Berechtigung verfügen oder die Anwendung aus dem Store installiert haben. Zuvor war das Plugin „Vulnerability Emergency Response“ im Plugin „Vulnerability Emergency Response“ enthalten. Ab v3.2.2 wurde das Plugin „Vulnerability Emergency Response“ in Bewertung des Schwachstellenrisikos umbenannt.
    Wird eine Schwachstelle von Interesse identifiziert, erstellt der Schwachstellenereignismanager einen Schwachstellenbewertungsdatensatz mit Informationen zur Threat Intelligence-Quelle, den Schwachstellenmerkmalen und den betroffenen Produkten. Diese Informationen werden für weitere Auswirkungs- und Risikoanalysen verwendet.

    Nachdem der Datensatz für eine Schwachstelle von Interesse erstellt wurde, wird eine Risikobewertung durchgeführt. Diese Bewertung umfasst die strukturierte Risikobewertung, die Überprüfung des Datensatzes und die Beobachtungen des Analysten, der die Aufgabe ausführt. Die anfängliche Risikopunktzahl für eine Schwachstelle von Interesse wird anhand der Attribute berechnet, die zum Zeitpunkt der Ereigniserstellung verfügbar sind. Die Risikopunktzahl für die Bewertung kann sich ändern, wenn zusätzliche Informationen verfügbar werden. Verwenden Sie die Risikopunktzahl, um die potenziellen Auswirkungen der Ausnutzung zu bestimmen und Antwortprioritäten festzulegen.

    Nachdem die Bewertung für eine relevante Schwachstelle erstellt und festgestellt wurde, dass ein Risiko für die Infrastruktur der Organisation darstellt, können Sie die Bedrohung weiter analysieren, indem Sie die Risikobewertung mit einer eingehenden Bewertung des Gefahrenpotenzials mit dem Softwareinstallationsbestand von Software Asset Management, Software Bill of Materials aktualisieren. (SBOM)-Bestand, vom Scanner gemeldete Schwachstellen und Configuration Management Database (CMDB). Betroffene Configuration Items und Anwendungen werden automatisch durch eine Bewertung identifiziert. Zusätzliche betroffene Elemente können manuell hinzugefügt werden.

    Sobald die Bewertung abgeschlossen ist, können angreifbare Elemente oder angreifbare Anwendungselemente für die Gefahrenpotenzial-Ergebnisse erstellt werden, denen noch kein angreifbares Element zugeordnet ist. Der Risikopunktzahl-Rechner für angreifbare Elemente kann genutzt/konfiguriert werden, um die Risikopunktzahl für angreifbare Elemente anzupassen, die mit Datensätzen der Schwachstellenbewertung verknüpft sind. Dem Schwachstellenbewertungsdatensatz können die Gefährdungsstufe und die Ereignispriorität zugewiesen werden. Je nach Ereignispriorität kann der Schwachstellenereignis-Manager die Schwachstellenbewertung mit einem schwerwiegenden Security Incident vorschlagen, heraufstufen oder verknüpfen.

    Verwenden Sie Management schwerwiegender Sicherheits-Incidents, um Nachbesserungsaktivitäten nachzuverfolgen und zu verwalten, laufende Security Incidents zu verknüpfen, Ad-hoc-Aufgaben zu erstellen, betroffene Teams einzubeziehen, Statusberichte zu senden und mithilfe der in Management schwerwiegender Sicherheits-Incidentsverfügbaren Zusammenarbeitsintegrationen zusammenzuarbeiten.

    ServiceNow® Software Asset Management und Software Bill of Materials (SBOM) Bewertungs-Verarbeitungslogik

    Anhand der Daten Software Asset Management werden die von NVD für das CVE stammenden CPEs und anschließend die Discovery-Modelle mithilfe der Zeichenfolgen-Abgleichlogik abgerufen. Nach dem Abrufen der Discovery-Modelle wird ein Scan auf zugehörige Installationen ausgeführt, die zugehörigen Konfigurationselemente werden abgerufen und die Tabelle „Betroffene Konfigurationselemente“ ausgefüllt. Sie können weitere Details wie Herausgeber, Produkt, Version und Edition angeben. Basierend darauf werden alle übereinstimmenden Discovery-Modelle und die Softwareinstallationen für den Datensatz abgerufen. Anschließend werden die zugehörigen Configuration Items abgerufen und die Tabelle „Betroffene Configuration Items“ wird neu gefüllt.

    Für SBOMwird die zugehörige Software für das CVE aus der zugehörigen (m2m)-Tabelle (zwischen CVE und Software) abgerufen. Nach dem Abrufen der Softwaredetails werden die zugehörigen SBOM-Komponenten identifiziert, indem das Produkt und die Version aus der SBOM-Komponente mit dem Produkt und der Version der identifizierten Software abgeglichen werden.

    Nachdem die zugehörigen Komponenten gefunden wurden, werden die Entitäten abgerufen, die sich auf die Komponenten beziehen. Das Produktmodell aus den -Entitäten und das zugehörige CI (falls gefunden) werden abgerufen, und das Konfigurationselement wird in der Tabelle „Betroffene Konfigurationselemente“ gespeichert. Wenn das Konfigurationselement keine angreifbaren Elemente enthält, können Sie es zum Erstellen des angreifbaren Elements verwenden. Wenn kein Configuration Item gefunden wird, wird das Produktmodell in der Tabelle „Betroffene Softwaremodelle“ gespeichert und kann zum Erstellen angreifbarer Anwendungselemente verwendet werden.

    Weitere Informationen zur Verwendung des Workflows „Schwachstellen-Krisenmanagement“ finden Sie unter Arbeitsbereich der Schwachstellenbewertung verwenden.