アプリケーション脆弱性対応 のリスクを自動的に計算する

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アプリケーション脆弱性算出は、アプリケーション脆弱性一致アイテム (AVI) のフィールドの初期リスク値の計算を自動化します。リスク計算により、修復の優先順位を決めるインサイトが得られます。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    アプリケーション脆弱性算出

    アプリケーション脆弱性対応 ベースシステムには、アプリケーション脆弱性一致アイテムのベース [リスクスコア] を設定する 2 つの脆弱性算出が含まれています。
    • 基本的なリスク算出
    • Advanced Risk 算出

    アプリケーション脆弱性算出は、条件フィルターを使用することにより、任意の条件に基づいて AVI の影響度を優先順位付けして評価するように構築することができます。脆弱性のビジネスへの影響度、構成アイテム (CI) のクラス、または AVI の経過時間など、追加の脆弱性算出を作成して AVI に他のフィールドを設定できます。また、既存の脆弱性算出をカスタマイズすることもできます。算出は、どのような優先順位でも反映できるように記述できます。詳細については、「アプリケーションの脆弱性管理 内のフィルタリング」を参照してください。

    AVI には、リスク算出から導出された [リスクスコア] 値が含まれています。
    注:
    AVI は [ソース重大度] を表示しますが、正規化された重大度は表示しません。正規化された重大度は、[リスクスコア] 値を取得するための算出によって使用されますが、AVI には表示されません。

    各算出には、算出ルールのリストと、それを適用するタイミングを決定する条件が含まれています。算出が実行されると、各算出ルールの条件が順番に評価され、最初に一致した算出ルールが使用されます。

    有効なすべての脆弱性算出は、AVI が作成されるたびに、関連付けられた CI または脆弱性が変更された場合に、選択したフィールドを設定します。

    正規化された脆弱性重大度を使用して、[基本的なリスク] 算出が AVI の [リスクスコア] を計算します。
    注:
    一度にアクティブにできる算出は、ターゲットフィールド ([リスクスコア]) ごとに 1 つのみです。

    [基本的なリスク] はデフォルトで有効になっています。[Advanced Risk 算出] はデフォルトで無効になっています。

    アプリケーション脆弱性算出ルール

    ベースシステムの [基本的なリスク算出] の計算には、重大度 (なし~重大) ごとに、重大度に基づいて [リスクスコア] の値 (0 〜 100) をアサインする算出ルールが含まれています。[不明な重大度] には、リスクスコア 100 が自動的にアサインされます。これらの値は調整可能で、[Advanced Risk 算出] のように、新しい算出ルールやリスクルールを作成できます。

    ベースシステムの [Advanced Risk 算出] には、[デフォルトのリスクルール]と呼ばれる特殊な脆弱性算出ルールが含まれています。複数の値に基づいて、[リスクスコア] が計算されます。
    • 脆弱性重大度
    • OWASP 上位 10 件
    • SANS 上位 25 位
    デフォルトのリスクルールの基準をカスタマイズできます。詳細については、「リスクルールのフィールドと重み付けを定義する」を参照してください。

    [デフォルトのリスクルール] で使用する値と、これらの各値の重み付けを調整できます。重み付けは、[リスクスコア] を設定するときに各要素をどの程度考慮するかを調整するために使用されます。

    各ルールには [順序] 設定がありますが、条件に一致する最初のルールによって AVI の [リスクスコア] フィールドが更新されます。通常、スクリプト化されていない算出ルールは、スクリプト化された算出ルールよりもパフォーマンスへの影響が少なくなります。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • 出荷時のリスク評価タイプはベーステーブルで avr_risk_rating となっています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリー (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。