애플리케이션 취약성 대응 탐색

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기8분

    • 애플리케이션 취약성은 애플리케이션의 개발 수명주기 동안 검사되는 사용자 지정 소프트웨어 애플리케이션의 취약성입니다.

    개요 애플리케이션 취약성 대응 및 사용 가능한 버전

    애플리케이션 취약성 대응 (AVR)은 애플리케이션 취약성을 처리하는 애플리케이션의 일부입니다 취약성 대응 .

    표 1. 사용 가능한 버전
    릴리스 버전 릴리스 정보

    취약성 대응 v23.0

    취약성 대응 v22.0

    취약성 대응 v21.0

    취약성 대응 v20.0

    취약성 대응 v19.0

    취약성 대응 v18.2

    		 Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.

    작동 원리

    취약성 데이터는 CWE(Common Weakness Enumeration) 또는 타사 통합과 같은 내부 및 외부 소스에서 임포트됩니다. 데이터를 임포트한 후에는 사용자의 구성 관리 데이터베이스(CMDB) 애플리케이션 데이터와 비교되고 애플리케이션에서 처리됩니다 애플리케이션 취약성 대응 . 임포트한 애플리케이션 취약성 데이터와 CMDB의 데이터 간에 일치하는 항목이 있으면 AVIT(애플리케이션 취약한 항목)가 생성됩니다.

    여기에는 애플리케이션 취약성 대응 다음과 같은 주요 기능이 포함됩니다.
    • 지원되는 외부 공급업체 스캐너와 통합하여 취약성 데이터를 임포트합니다.
    • 애플리케이션 취약성 관련 데이터를 비교하고 애플리케이션에서 애플리케이션 취약성이 발견되었는지 확인합니다.
    • 애플리케이션 취약한 항목(AVIT)의 우선순위를 지정하고 정정하며 관리합니다. 각 애플리케이션 취약성은 CWE 또는 외부 공급업체 라이브러리의 취약성 항목을 나타냅니다.
    • 취약성 대응버전 18.0부터 및 에서 각각 AVIT를 취약성 관리자 작업 공간 모니터링하고 정정할 수 있습니다 IT 정정 작업 공간 . 자세한 내용은 취약성 관리자 작업 공간IT 정정 작업 공간 문서를 참조하십시오.
    • 계산기와 라이브러리를 사용하여 데이터의 상관 관계를 지정하면 애플리케이션 취약성 대응 다음 작업을 수행하는 데 도움이 됩니다.
      • CI 조회 규칙을 사용하여 애플리케이션 취약한 항목을 자동으로 생성합니다. 임포트하는 동안 타사 취약성이 CWE에 연결되어 AVIT를 생성합니다.
      • 담당 규칙을 생성하여 애플리케이션 취약한 항목 할당을 자동화합니다.
      • 계산기 그룹을 사용하여 비즈니스 영향을 결정하거나, 필터를 사용하여 다양한 조건을 지정하거나, 단순 계산을 적용하거나, 스크립트를 사용할 수 있습니다.
      • 예정된 정정 활동을 모니터링할 수 있도록 애플리케이션 취약한 항목을 정정하기 위한 예상 시간 범위를 정의하는 정정 대상 규칙을 생성합니다.
    • 단일 외부 공급업체 취약성을 여러 CWE 항목과 연관시키고 취약성의 기본 CWE를 찾아서 위험을 판단하는 데 도움을 줍니다. 기본 CWE에 대한 자세한 내용은 다음 문서를 참조하십시오애플리케이션 취약성 필드.
    • CWE 데이터베이스에서 다운로드하거나 외부 공급업체 통합에서 임포트한 CWE 기록을 참조용으로 사용하면 취약성을 에스컬레이션해야 하는지 여부를 결정하는 데 도움이 됩니다. 각 CWE 기록에는 약점을 설명하는 관련 지식 문서도 포함되어 있습니다.

    통합에서 조사, 그리고 해결에 이르는 정보의 흐름을 따라가는 데 사용합니다 애플리케이션 취약성 대응 .

    Application Vulnerability Response 플로우

    임포트된 취약성 데이터의 유형

    애플리케이션 취약성 대응 는 다음과 같은 유형의 임포트된 애플리케이션 취약성 데이터를 지원합니다.
    주:
    v19.0 이전에는 SAST, SCA, IAST 및 침투 테스트 데이터가 수집되지 않았으며 에 표시되는 것과 에 FortifyInvicti 표시되는 Veracode애플리케이션 취약성 대응내용 간의 차이를 설명할 수 있습니다.
    동적 애플리케이션 보안 테스트(DAST)
    DAST 스캔은 애플리케이션에 입력을 보내고 실행 중인 응답을 모니터링하여 취약성 애플리케이션을 찾습니다. 이 접근 방식은 외부 공격을 모방할 수 있습니다. 동적 검사 중에는 실행 중인 서비스(URL)에 취약성이 있는지 검사합니다. 취약성 결과에는 발견된 취약성의 URL 위치가 포함됩니다.
    정적 애플리케이션 보안 테스트(SAST)
    SAST 스캔은 저장 중인 애플리케이션의 소스 코드를 검토하고 코드를 작성한 방식에서 취약점을 찾는 데 도움이 됩니다. SAST 스캔은 컴파일되지 않은 소스 코드에서 수행되므로 애플리케이션 서비스와 독립적으로 존재합니다. 반환되는 결과에는 발견된 취약성의 파일 및 라인 번호, 위치가 포함됩니다.
    인터랙티브 애플리케이션 보안 테스트(IAST)
    IAST 스캔은 프로그램이 실행되는 동안 프로그램과 상호 작용하여 소프트웨어 취약성을 탐지합니다. 사람의 관찰, 자동화된 테스트 및 센서가 함께 사용되어 애플리케이션과 상호작용하여 취약성을 찾습니다.
    소프트웨어 구성 분석(SCA)
    취약성 대응v19.0부터 SCA(소프트웨어 구성 분석) 취약성을 수집할 수 있습니다. SCA 취약성 데이터는 소프트웨어 애플리케이션에서 사용 중인 오픈 소스 소프트웨어의 약점을 식별하는 데 도움이 됩니다.
    침투 테스트
    에서 애플리케이션 취약성 대응 침투 테스트 평가 요청을 구성하면 애플리케이션 약점이 있는 위치와 이를 수정하기 위해 수행할 수 있는 작업을 이해하는 데 도움이 됩니다.
    소프트웨어 자재 명세서
    (SBOM) 데이터를 업로드 소프트웨어 자재 명세서 하여 오픈 소스 구성요소의 취약성을 식별합니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.

    사용 케이스

    다음 DAST 사용 사례 중 일부가 지원됩니다.
    • 스캔 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)에 연결합니다.
    • 원본 디스커버리 또는 외부 공급업체 통합에 CMDB 기록이 있는 경우 DAST 스캔 결과를 기존 애플리케이션과 연결합니다.
    • 새 애플리케이션이 이전에 CMDB에서 식별 및/또는 저장되지 않은 경우 DAST 스캔 결과를 새로 삽입된 스캔한 애플리케이션과 연관시킵니다.
    • 가 아닌 ServiceNow®다른 제품에서 애플리케이션을 관리할 때 CMDB에 대한 DAST 스캔 결과를 저장합니다.
    • 이전에 다른 용도로 사용자 지정한 경우 CMDB에 대한 DAST 스캔 결과를 저장합니다.
    • 소스 코드 리포지토리에 대한 애플리케이션을 수동으로 생성합니다.
    지원되는 SAST 사용 사례 중 일부가 지원됩니다.
    • 스캔 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)에 연결합니다.
    • 소스 코드 리포지토리에 대한 CI를 수동으로 생성합니다.
    • 관련 애플리케이션 서비스가 없는 SAST 스캔 결과를 저장합니다.

    외부 공급업체 통합

    에서 애플리케이션 취약성 대응 지원하는 타사 통합은 에서 별도의 애플리케이션으로 사용할 수 있습니다 ServiceNow Store. 자세한 내용은 다른 애플리케이션과 애플리케이션 취약성 대응의 통합 문서를 참조하십시오.

    주요 기능

    CI 조회 규칙
    에서 일치하는 구성 관리 데이터베이스(CMDB)항목에 대한 애플리케이션 데이터를 자동으로 검색합니다.
    담당 규칙
    사용자 그룹, 사용자 그룹 필드 및 스크립트를 기반으로 애플리케이션 취약성을 자동으로 할당합니다.
    위험 계산기
    조건 필터를 사용하여 기준에 따라 계산기를 사용하여 AVIT의 영향에 자동으로 우선순위를 지정하고 등급을 지정합니다.
    심각도 매핑
    애플리케이션 취약한 항목 필드의 초기 값을 자동으로 계산합니다. 취약성 항목에는 소스 심각도와 정규화된 심각도(심각도 매핑 기반)가 모두 있습니다. 심각도는 CWE(일반적인 약점 열거)와 관련이 있습니다.
    정정 대상 규칙
    애플리케이션 취약한 항목을 정정하기 위한 예상 시간 범위를 정의합니다.
    보고
    보안 태세, 문제 해결 추세 및 가장 중요한 AVIT를 갖춘 상위 10개 애플리케이션 또는 비즈니스 단위에 대한 인사이트를 빠르게 확보합니다.

    두 스캔 유형의 공통점은 애플리케이션 릴리스입니다. Name 문자열을 정의하는 애플리케이션 릴리스는 스캐너 측에서 스캔된 취약성 결과를 그룹화하기 위한 연결 지점입니다. 이러한 방식으로 AVR은 통합을 통해 스캔 결과를 임포트할 때 결과가 속한 애플리케이션 릴리스를 알 수 있습니다.

    애플리케이션 및 범위에 구성 항목 [cmdb_ci] 하위 테이블인 스캔한 애플리케이션 [sn_vul_app_scanned_application]이 취약성 대응 생성되었습니다. 이 테이블은 애플리케이션 릴리스 추상화를 저장하고 CMDB 관계를 통해 서비스 그래프 기능을 제공합니다. 다음에서 볼 수 있습니다. 모두 > 애플리케이션 취약성 대응 > 관리 > 애플리케이션 모듈. 스캔한 애플리케이션의 목록 뷰에는 설치 중에 추가된 부서지원 그룹이 포함되어 있습니다.

    애플리케이션 취약 항목(AVIT)

    애플리케이션 취약성의 경우 AVR은 취약성을 애플리케이션에 연결하여 AVIT(애플리케이션 취약한 항목) 기록을 생성합니다. CMDB 애플리케이션 취약성 대응 에서 애플리케이션을 구성하는 항목에 대한 정의가 여러 가지이므로 애플리케이션을 검사된 애플리케이션으로 제한합니다. 스캔한 애플리케이션은 AVR에 의해 이름ID로 식별되는 사용자 환경에서 스캔된 애플리케이션입니다. AVIT는 스캐너에서 수정 이 확인될 때까지 최신 검사 요약을 기반으로 합니다. AVIT를 더 이상 찾을 수 없으면 마지막으로 표시된 검사 요약에 연결된 상태로 유지됩니다.

    다음에서 애플리케이션 취약 항목을 볼 수 있습니다. 모두 > 애플리케이션 취약성 대응 > 취약성 > 취약 항목 모듈.

    애플리케이션이 CMDB에서 제거되면 연결된 모든 AVIT가 닫힙니다.

    AVIT 양식 필드에 대한 자세한 내용은 문서를 참조하십시오 애플리케이션 취약한 항목 필드.

    의 사용자 그룹 및 역할 애플리케이션 취약성 대응

    팀이 함께 작업하여 애플리케이션 취약성 관리를 생성, 관리 및 감독하는 경우가 많습니다. 팀 구성원들 중에는 운영 역할뿐만 뿐만 아니라, 전략적 역할도 가집니다. 대부분의 조직에서는 두 가지 이상의 역할에 참여하고 다른 사람과 역할을 공유할 수도 있습니다. 애플리케이션 취약성 대응 은 세분화된 역할을 포함하는 세 개의 사용자 그룹(App-Sec 관리자, 애플리케이션 보안 챔피언 및 개발자)을 사용합니다. 이러한 그룹 및 역할에 대한 자세한 내용은 을 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할 .

    애플리케이션 취약성 대응 상태

    애플리케이션 취약성 대응 은 애플리케이션 취약 항목(AVIT)의 상태에 대한 상태 모델을 제공하며 AVIT를 정정하는 시기와 방법을 결정하는 데 도움을 줍니다.

    애플리케이션 취약한 항목에는 여러 가지 상태가 있을 수 있습니다. 자세한 내용은 를 참조하십시오 애플리케이션 취약한 항목(AVI) 상태 .