Explorando Resposta a vulnerabilidades de aplicações

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • As vulnerabilidades da aplicação são vulnerabilidades em suas aplicações de software personalizadas que são verificadas durante todo o ciclo de vida de desenvolvimento da aplicação.

    Visão geral de Resposta a vulnerabilidades de aplicações e versões disponíveis

    Resposta a vulnerabilidades de aplicações (AVR) é a parte da aplicação Resposta a vulnerabilidades que processa as vulnerabilidades da aplicação.

    Tabela 1. Versões disponíveis
    Versão de lançamento Notas de versão

    Resposta a vulnerabilidades v23.0

    Resposta a vulnerabilidades v22.0

    Resposta a vulnerabilidades v21.0

    Resposta a vulnerabilidades v20.0

    Resposta a vulnerabilidades v19.0

    Resposta a vulnerabilidades v18.2

    		 Application Vulnerability Response release notes

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Como ele funciona

    Os dados de vulnerabilidade são importados de fontes internas e externas, como Common Weakness Enumeration (CWE) ou integrações de terceiros. Depois que os dados são importados, eles são comparados aos dados da aplicação na sua aplicação Configuration Management Database (CMDB) e processados na aplicação Resposta a vulnerabilidades de aplicações. Se houver uma correspondência entre os dados de vulnerabilidade da aplicação importados e os dados no seu CMDB, um item vulnerável de aplicação (AVIT) será criado.

    O Resposta a vulnerabilidades de aplicações inclui os seguintes recursos principais:
    • Integre com scanners de terceiros compatíveis para importar dados de vulnerabilidade.
    • Compare os dados relacionados à vulnerabilidade da aplicação e determine se as vulnerabilidades da aplicação foram encontradas em uma aplicação.
    • Priorize, corrija e gerencie itens vulneráveis de aplicação (AVIT). Cada vulnerabilidade da aplicação representa uma entrada de vulnerabilidade no CWE ou em bibliotecas de terceiros.
    • A partir da versão 18.0 de Resposta a vulnerabilidades, você pode monitorar e corrigir AVITs em Vulnerability Manager Workspace e Espaço de correção de problemas de TI, respectivamente. Para obter mais informações, consulte Vulnerability Manager Workspace e Espaço de correção de problemas de TI.
    • Correlacione Resposta a vulnerabilidades de aplicações dados usando calculadoras e bibliotecas para ajudá-lo a executar as tarefas a seguir.
      • Crie itens vulneráveis de aplicação automaticamente usando Regras de pesquisa de IC. Durante a importação, vulnerabilidades de terceiros são associadas a um CWE para criar um AVIT.
      • Crie regras de atribuição para automatizar as atribuições de item vulnerável da aplicação.
      • Use grupos de calculadoras para determinar o impacto nos negócios, especificar condições variadas usando filtros, aplicar cálculos simples ou usar um script.
      • Crie regras de destino de correção que definam o intervalo de tempo esperado para corrigir itens vulneráveis da aplicação para que você possa monitorar as próximas atividades de correção.
    • Relacionar uma única vulnerabilidade de terceiros a várias entradas do CWE e encontrar o CWE primário de uma vulnerabilidade para ajudá-lo a determinar o risco. Para obter mais informações sobre o CWE primário, consulte Campos de vulnerabilidade da aplicação.
    • Use registros do CWE que são baixados do banco de dados do CWE ou importados de integrações de terceiros como referência para ajudá-lo a decidir se deve escalar uma vulnerabilidade. Cada registro CWE também inclui um artigo de conhecimento associado que descreve o ponto fraco.

    Use Resposta a vulnerabilidades de aplicações para seguir o fluxo de informações, desde a integração até a investigação e, em seguida, até a resolução.

    Fluxo de Resposta a vulnerabilidades da aplicação

    Tipos de dados de vulnerabilidade importados

    Resposta a vulnerabilidades de aplicações O é compatível com os seguintes tipos de dados de vulnerabilidade da aplicação importados.
    Nota:
    Antes da v19.0, os dados de SAST, SCA, IAST e de teste de invasão não eram ingeridos e podem ser responsáveis pelas diferenças entre o que é mostrado em Veracode, Fortifye Invicti e o que aparece em Resposta a vulnerabilidades de aplicações.
    Testes dinâmicos de segurança da aplicação (DAST)
    As verificações do DAST localizam a aplicação de vulnerabilidades enviando entradas para suas aplicações e monitorando suas respostas enquanto elas estão em execução. Essa abordagem pode imitar um ataque externo. Durante a verificação dinâmica, um serviço em execução (URL) é verificado quanto a vulnerabilidades. Os resultados de vulnerabilidade incluem um local de URL de uma vulnerabilidade descoberta.
    Teste de segurança da aplicação estático (SAST)
    As verificações de SAST revisam o código de origem das aplicações em repouso e ajudam a encontrar vulnerabilidades na forma como você criou seu código. A verificação do SAST ocorre em código de origem não compilado e, portanto, existe independentemente de qualquer serviço de aplicativos. Os resultados retornados incluem um arquivo e a localização do número de linha de uma vulnerabilidade descoberta.
    Testes de segurança de aplicações interativos (IAST)
    As verificações IAST detectam vulnerabilidades de software interagindo com o programa enquanto ele está em execução. Observação humana, testes automatizados e sensores são usados em combinação para interagir com a aplicação para localizar vulnerabilidades.
    Análise de composição de software (SCA)
    A partir da v19.0 de Resposta a vulnerabilidades, você pode ingerir vulnerabilidades da Análise de composição de software (SCA). Dados de vulnerabilidade de SCA para ajudar a identificar pontos fracos no software de código aberto que está sendo usado em seus aplicativos de software.
    Teste de invasão
    Você configura as solicitações de avaliação de teste de invasão em Resposta a vulnerabilidades de aplicações para ajudá-lo a entender onde estão os pontos fracos da sua aplicação e o que você pode fazer para corrigi-los.
    Lista de materiais de software
    Carregue Lista de materiais de software (SBOM) dados para identificar vulnerabilidades em seus componentes de código aberto. Para obter mais informações, consulte Exploração do Lista de materiais de software.

    Casos de uso

    Alguns dos seguintes casos de uso de DAST são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Relacionar os resultados da verificação do DAST a uma aplicação existente quando houver um registro no CMDB de Descoberta ou uma integração de terceiros.
    • Relacionar o resultado da verificação do DAST a uma aplicação verificada recém-inserida quando uma nova aplicação não tiver sido identificada e/ou armazenada no CMDB.
    • Armazene os resultados da verificação do DAST para um CMDB ao gerenciar suas aplicações em um produto diferente de ServiceNow®.
    • Armazene os resultados da verificação do DAST para um CMDB se você tiver personalizado anteriormente para outra finalidade.
    • Crie uma aplicação para o repositório de código de origem manualmente.
    Alguns dos casos de uso de SAST compatíveis são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Crie um IC para o repositório de código de origem manualmente.
    • Armazene os resultados da verificação do SAST que não têm um serviço de aplicações relacionado.

    Integrações de terceiros

    As integrações de terceiros compatíveis com Resposta a vulnerabilidades de aplicações estão disponíveis como aplicações separadas no ServiceNow Store. Para obter mais informações, consulte Integração do Resposta a vulnerabilidades de aplicações a outras aplicações.

    Principais recursos

    Regras de pesquisa de IC
    Pesquise automaticamente dados da aplicação em busca de correspondências no Configuration Management Database (CMDB).
    Regras de atribuição
    Atribua automaticamente vulnerabilidades de aplicação com base em grupos de usuários, campos de grupo de usuários e scripts.
    Calculadoras de Risco
    Priorize e classifique automaticamente o impacto dos AVITs usando calculadoras, com base em qualquer critério, usando filtros de condição.
    Mapeamento de severidade
    Calcule automaticamente os valores iniciais dos campos nos itens vulneráveis da aplicação. As entradas de vulnerabilidade têm gravidade de origem e gravidade normalizada (com base no mapeamento de gravidade). A gravidade está vinculada à Enumeração de pontos fracos comuns (CWE).
    Regras de destino de correção
    Defina o intervalo de tempo esperado para corrigir um item vulnerável da aplicação.
    Emissão de relatórios
    Obtenha rapidamente informações sobre sua postura de segurança, tendências de correção e as 10 principais aplicações ou unidades de negócios com os AVITs mais críticos.

    O ponto comum para ambos os tipos de verificações é a versão da aplicação. Uma versão da aplicação, que define uma cadeia de caracteres de Nome, é o ponto de vinculação para agrupar os resultados de vulnerabilidade verificados no lado do scanner. Dessa forma, o AVR sabe a qual versão da aplicação os resultados pertencem ao importar resultados de verificação por meio da integração.

    Uma tabela secundária de item de configuração [cmdb_ci], Aplicações verificadas [sn_vul_app_scanned_application], foi criada na aplicação e no escopo Resposta a vulnerabilidades. Esta tabela armazena a abstração da versão da aplicação e fornece gráficos de serviço por meio de seus relacionamentos do CMDB. Eles podem ser exibidos em Todos > Resposta a vulnerabilidades de aplicações > Administração > Aplicações módulo. A exibição de lista de aplicações verificadas contém o departamento e o grupo de suporte adicionados durante a configuração.

    Itens vulneráveis de aplicação (AVITs)

    Para vulnerabilidades da aplicação, o AVR relaciona uma vulnerabilidade a uma aplicação para criar o registro de item vulnerável da aplicação (AVIT). Por causa das várias definições do que constitui uma aplicação no CMDB, Resposta a vulnerabilidades de aplicações limita as aplicações a aplicações verificadas. Aplicações verificadas são as aplicações verificadas em seu ambiente identificadas pelo AVR como Nome e ID. Os AVITs são baseados no resumo da verificação mais recente até que seja confirmado pelo scanner. Se um AVIT não for mais encontrado, ele permanecerá vinculado ao resumo da verificação em que foi visto pela última vez.

    Os itens vulneráveis da aplicação podem ser exibidos em Todos > Resposta a vulnerabilidades de aplicações > Vulnerabilidades > Itens vulneráveis módulo.

    Se uma aplicação for removida do CMDB, todos os AVITs associados serão encerrados.

    Para obter informações sobre campos de formulário AVIT, consulte Campos de item vulnerável da aplicação.

    Grupos de usuários e funções no Resposta a vulnerabilidades de aplicações

    Frequentemente, uma equipe trabalha em conjunto para criar, gerenciar e supervisionar a gestão de vulnerabilidades da aplicação. Existem funções estratégicas, bem como funções operacionais, entre os membros da equipe. Na maioria das organizações, você pode participar de mais de uma função e geralmente compartilha funções com outras pessoas. Resposta a vulnerabilidades de aplicações usa três grupos de usuários que contêm funções granulares: gerente de App-Sec, campeão de segurança da aplicação e desenvolvedor. Consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções para obter mais informações sobre esses grupos e funções.

    Resposta a vulnerabilidades de aplicações estados

    Resposta a vulnerabilidades de aplicações O oferece um modelo de estado para o status dos itens vulneráveis da aplicação (AVITs) e ajuda você a determinar quando e como corrigir seus AVITs.

    Um item vulnerável de aplicação tem vários estados possíveis. Consulte Estados de item vulnerável de aplicação (IVA) para obter mais informações.