침투 테스트
의 침투 테스트를 Application Vulnerability Response 통해 애플리케이션 소유자는 애플리케이션의 보안 태세를 평가할 수 있습니다. 윤리적 해킹 팀이 응용 프로그램을 수동으로 테스트하는 것입니다.
필요한 역할
침투 테스트에는 다음 역할이 필요합니다.
App-Sec 관리자: 침투 테스트 평가 요청을 관리하는 보안 관리자 및 애플리케이션 소유자를 포함합니다. 여기에는 다음과 같은 세부적인 역할이 포함됩니다.
- sn_vul.app_펜_테스트_요청 관리
- sn_vul.app_read_all
- cmdb_read
윤리적 해커: 애플리케이션의 침투 테스트를 수행하는 윤리적 해킹 팀의 구성원을 포함합니다. 여기에는 다음과 같은 세부적인 역할이 포함됩니다.
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits (영문)
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_펜_테스트_요청 관리
- sn_vul.app_업데이트_상태
이러한 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 Application Vulnerability Response 사용자 그룹 및 역할.
의 Vulnerability Responsev19.0부터 를 사용하는 Veracode Vulnerability Integration경우 침투 평가 테스트 Veracode Vulnerability Integration 는 의 수동 결과입니다 Veracode. 에서 구성하는 침투 테스트 평가 요청에는 Application Vulnerability Response연결되지 않습니다. 침투 테스트 평가 Veracode에 대한 자세한 내용은 를 참조하십시오 Veracode Vulnerability Integration.
침투 테스트의 수명 주기
애플리케이션 소유자는 윤리적 해킹 팀에 애플리케이션의 침투 테스트 평가를 요청할 수 있습니다. 윤리적 해킹 팀은 이 요청에 따라 조치를 취하고 침투 테스트 결과를 생성합니다. 이러한 결과는 수동으로 생성된 애플리케이션 취약한 항목(AVI)입니다.
침투 테스트 워크플로는 테스트 요청 제기부터 윤리적 해킹 팀의 결과 해결에 이르는 침투 테스트 수명주기를 다룹니다.
침투 테스트 평가 요청
v19.0부터는 다음에서 새 요청을 생성하거나 기존 요청을 복사할 수 있습니다. 레이블이 표시됩니다.
v19.0 이전에는 애플리케이션 소유자가 ITSM 서비스 카탈로그를 사용하여 애플리케이션에 대한 침투 테스트 평가를 요청할 수 있습니다.
침투 테스트 평가 요청 검토
윤리적 해킹 팀은 침투 테스트 평가 요청의 애플리케이션과 범위를 검토 및 평가하고 기존 백로그에 추가합니다.
환경 준비
그런 다음 윤리적 해킹 팀은 애플리케이션 소유자에게 테스트를 시작할 수 있는 환경을 제공하라는 요청을 보냅니다. 환경이 준비되면 애플리케이션 소유자는 윤리적 해킹 팀에 알립니다.
테스트 요청 구성에 대한 자세한 내용은 을 참조하십시오 침투 테스트 구성.
침투 테스트 결과 테스트 및 보고
윤리적 해킹 팀은 AVE(Application Vulnerability Entry) 라이브러리를 생성하고 AVI를 보고하는 동안 재사용할 수 있습니다. 침투 테스트 결과의 상태를 추적할 수도 있습니다.
침투 테스트 결과 수정 및 검증
애플리케이션 팀에서 침투 테스트 결과를 수정하고 해결한 후 수정 사항을 수동으로 검증하고 윤리적 해킹 팀에서 종결합니다.
애플리케이션 취약성 관리 보고서
PA 대시보드에서 애플리케이션 취약성 관리 사용할 수 있는 보고서를 사용하여 침투 테스트 결과를 추적합니다.