보상 통제가 위험 점수 및 만료 날짜에 미치는 영향
정정 소유자는 호스트 취약한 항목 또는 정정 작업에 대한 위험 감소를 요청할 수 있습니다. 그리고 취약성 관리자나 분석가는 이러한 위험 감소 요청을 승인할 수 있습니다.
위험 감소를 요청하고 위험 감소 승인을 승인하는 방법에 대한 자세한 내용은 각각 및 문서를 에서 요청 승인 또는 거부 취약성 관리자 작업 공간 참조하십시오취약한 항목 또는 정정 작업에 대한 위험 감소 요청.
위험 감소 요청이 승인되면 상태 변경 승인(VCA#) 기록의 원하는 값 (위험 등급)에 따라 위험 점수가 감소합니다. 위험 감소 요청이 승인되면 원하는 위험 등급의 가장 높은 위험 점수가 기록에 할당됩니다. 다음 예는 보상 통제가 적용될 때 위험 점수와 원래 위험 점수가 업데이트되는 방식을 보여줍니다. 다음 예에서는 위험 등급의 기본 최고 위험 점수를 사용합니다.
| 시나리오 | 위험 등급 | 위험 점수 | 원래 위험 점수(계산된 위험 점수) |
|---|---|---|---|
| v20.0 이전 데이터 | 2 - High | 80 | v20.0 이전에는 이 필드를 사용할 수 없습니다. |
| v20.0으로 업그레이드한 후 | 2 - High | 80 | null |
| 계산된 위험 점수가 수집 중 90으로 변경됩니다. | 1 - 위험 | 90 | null |
| 보상 통제를 적용하는 경우 | 3 - 보통 | 69 | 90 |
| 계산된 위험 점수가 수집 중에 70으로 변경됩니다. | 3 - 보통 | 69 | 70 |
| 계산된 위험 점수가 수집 중에 50으로 변경됩니다. | 3 - 보통 | 50 | 50 |
| 수집 중에 계산된 위험 점수가 80으로 변경됩니다. | 3 - 보통 | 50 | 80 |
| 보상 통제가 만료되는 날짜 위험 감소를 위한 종료 날짜 | 2 - High | 80 | null |
보상 통제가 정정 작업에 미치는 영향
정정 작업에 대한 위험 감소 요청이 승인되면 취약한 항목에 대한 보상 통제의 영향은 다음과 같습니다.
- 정정 작업에 적용된 보상 통제는 정정 작업의 상태 변경 승인에서 원하는 값 에 해당하는 위험 점수보다 위험 점수가 큰 취약한 항목(종결 상태 제외)에 적용됩니다. 그리고 이러한 취약 항목의 위험 점수는 원하는 값에 따라 감소됩니다.
- 새로운 취약한 항목을 수집하고 이미 승인된 보상 통제가 있는 정정 작업과 연결하면 감소된 위험 등급이 새로운 취약한 항목에 의해 자동으로 상속됩니다. 새로운 취약한 항목의 위험 점수는 승인된 상태 변경 승인 기록의 원하는 값과 일치하도록 설정되고 원래 위험 점수 필드에는 스캐너에서 계산한 값이 반영됩니다. 이는 취약성 대응, 애플리케이션 취약성 대응 및 컨테이너 취약성 대응의 모든 찾기 유형에 적용됩니다.
- 정정 작업에서 보상 통제를 상속하는 새로 수집된 취약한 항목에 대한 SLA는 원래 스캐너 심각도 수준이 아니라 감소된 위험 수준을 기준으로 계산됩니다.
- 보상 통제가 이미 적용된 취약 항목에 대해서는 위험 감소를 위한 종료 날짜 가 변경되지 않은 상태로 유지됩니다. 정정 작업의 위험 감소를 위한 종료 날짜 로 업데이트되지 않습니다.
- 이전에 취약 항목에 보상 통제가 적용되지 않은 경우에만 위험 감소를 위한 종료 날짜 가 취약 항목으로 롤다운됩니다. 정정 작업에 보상 통제를 다시 적용하면 취약한 항목의 위험 감소를 위한 기존의 종료 날짜가 우선하기 때문에 위험 감소를 위한 종료 날짜가 취약한 항목으로 롤다운되지 않습니다.
- 보상 통제가 이미 적용된 정정 작업에 새로운 취약한 항목을 추가하면 보상 통제가 새로운 취약한 항목에 자동으로 적용되고 해당 위험 점수가 승인된 상태 변경 승인 기록의 원하는 값과 일치하도록 감소됩니다.
취약한 항목에 대한 보상 통제의 영향
취약한 항목에 대한 위험 감소 요청이 승인되는 경우:
- 새 위험 점수가 위험 점수 필드에 표시되고 이전 위험 점수(계산된 위험 점수)가 원래 위험 점수 필드로 이동합니다. 이 변경 사항은 위험 감소를 위한 종료 날짜 필드에 지정된 날짜까지 유지됩니다.
- 취약한 항목에 보상 통제가 이미 적용되어 있는 경우 수집 중에 다음을 수행합니다.
- 계산된 위험 점수가 위험 점수보다 크면 위험 점수가 동일하게 유지되고 원래 위험 점수가 계산된 위험 점수로 업데이트됩니다.
- 계산된 위험 점수가 위험 점수보다 낮으면 위험 점수와 원래 위험 점수가 모두 계산된 위험 점수로 업데이트됩니다.
- 보상 통제가 이미 적용된 취약한 항목에 대해 CI(구성 항목)가 변경되는 경우:
- 시스템 속성이 true로 설정되어 sn_sec_cmn.update_on_ci_change 취약한 항목에 대해 CI가 기본적으로 업데이트됩니다.
보상 통제는 여전히 취약한 항목에 적용할 수 있습니다.
- 시스템 속성이 false로 설정되면 sn_sec_cmn.update_on_ci_change 취약한 항목이 닫히고 새로운 취약한 항목이 생성됩니다.
이전 취약한 항목에 적용된 보상 통제가 새 취약한 항목에도 적용되며 위험 감소를 위한 종료 날짜, 원래 위험 점수 및 위험 점수 는 동일하게 유지됩니다.
- 시스템 속성이 true로 설정되어 sn_sec_cmn.update_on_ci_change 취약한 항목에 대해 CI가 기본적으로 업데이트됩니다.
- 취약한 항목을 스캐너에서 다시 열었고 보상 통제가 이미 적용되어 있는 경우 해당 항목을 다시 연 후에도 동일한 보상 통제가 적용됩니다.