Teste de invasão
O teste de invasão em Resposta a vulnerabilidades de aplicações permite que os responsáveis pela aplicação avaliem a postura de segurança de sua aplicação. É o teste manual de uma aplicação pela equipe de hacking ético.
Funções necessárias
O teste de invasão requer as seguintes funções:
Gerente App-Sec: contém gerentes de segurança e responsáveis pela aplicação que gerenciam as solicitações de avaliação de teste de invasão. Ele contém as seguintes funções granulares:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Ethical Hacker: contém membros da equipe de hacking ético que realizam testes de invasão de aplicações. Inclui as seguintes funções granulares:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Para obter mais informações sobre essas funções, consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções.
A partir da v19.0 de Resposta a vulnerabilidades, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais do Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão configurada em Resposta a vulnerabilidades de aplicações. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte Veracode Vulnerability Integration.
Ciclo de vida do teste de invasão
Como proprietário da aplicação, você pode solicitar à equipe de invasão ética uma avaliação de teste de invasão da sua aplicação. A equipe de invasão ética atua nesta solicitação e cria descobertas de testes de invasão. Essas descobertas são Itens vulneráveis de aplicação (IVAs) criados manualmente.
O fluxo de trabalho de teste de invasão cobre o ciclo de vida do teste de invasão, desde a solicitação de teste até a resolução das descobertas da equipe de invasão ética.
Como solicitar uma avaliação de teste de invasão
A partir da v19.0, você pode criar novas solicitações ou copiar solicitações existentes em .
Antes da v19.0, como proprietário da aplicação, você pode solicitar uma avaliação de teste de invasão para sua aplicação usando o Catálogo de serviços do ITSM.
Como revisar a solicitação de avaliação de teste de invasão
A equipe de invasão ética revisa e avalia a aplicação e o escopo da solicitação de avaliação de teste de invasão e os adiciona ao backlog existente.
Preparando um ambiente
A equipe de invasão ética envia uma solicitação ao proprietário da aplicação para fornecer um ambiente para que ele comece a testar. Quando o ambiente estiver pronto, o responsável pela aplicação informará a equipe de invasão ética.
Para obter mais informações sobre como configurar solicitações de teste, consulte Configurar teste de invasão.
Como testar e relatar as descobertas do teste de invasão
A equipe de invasão ética pode criar uma biblioteca de entradas de vulnerabilidade da aplicação (AVEs) e reutilizá-las ao relatar os AVIs. Eles também podem rastrear o status das descobertas do teste de invasão.
Corrigindo e validando as descobertas do teste de invasão
Depois que as descobertas do teste de invasão são corrigidas e resolvidas pela equipe de aplicações, as correções são validadas manualmente e encerradas pela equipe de invasão ética.
Gestão de vulnerabilidades de aplicações relatórios
Use os relatórios disponíveis no Gestão de vulnerabilidades de aplicações painel do PA para rastrear as descobertas do teste de invasão.