Application Vulnerability Response 탐색
애플리케이션 취약성은 애플리케이션의 개발 수명주기 동안 검사되는 사용자 지정 소프트웨어 애플리케이션의 취약성입니다.
개요 Application Vulnerability Response 및 사용 가능한 버전
Application Vulnerability Response (AVR)은 애플리케이션 취약성을 Vulnerability Response 처리하는 애플리케이션의 일부입니다.
| 릴리스 버전 | 릴리스 정보 |
|---|---|
Vulnerability Response v21.0 버전 Vulnerability Response v20.0 버전 Vulnerability Response v19.0 버전 Vulnerability Response v18.2 버전 Vulnerability Response v18.0 버전 |
Application Vulnerability Response release notes 호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 내용을 참조하십시오. |
작동 방식
취약성 데이터는 CWE(Common Weakness Enumeration) 또는 외부 공급업체 통합과 같은 내부 및 외부 소스에서 임포트됩니다. 데이터를 가져온 후에는 사용자의 구성 관리 데이터베이스(CMDB) 애플리케이션 데이터와 비교되고 애플리케이션에서 처리됩니다 Application Vulnerability Response . 임포트한 애플리케이션 취약성 데이터와 CMDB의 데이터 간에 일치하는 데이터가 있는 경우 애플리케이션 취약한 항목(AVI)이 생성됩니다.
- 지원되는 외부 공급업체 스캐너와 통합하여 취약성 데이터를 임포트합니다.
- 애플리케이션 취약성 관련 데이터를 비교하고 애플리케이션에서 애플리케이션 취약성이 발견되었는지 확인합니다.
- AVI(애플리케이션 취약한 항목)의 우선순위를 지정하고 정정하고 관리합니다. 각 애플리케이션 취약성은 CWE 또는 타사 라이브러리의 취약성 항목을 나타냅니다.
- 버전 18.0 Vulnerability Response부터 Vulnerability Manager Workspace 및 IT Remediation Workspace에서 각각 AVI를 모니터링하고 수정할 수 있습니다. 자세한 내용은 취약성 관리자 작업 공간 살펴보기 및 IT 정정 작업 공간 살펴보기 문서를 참조하십시오.
- 계산기와 라이브러리를 사용하여 데이터의 상관 관계를 Application Vulnerability Response 지정하면 다음 작업을 수행하는 데 도움이 됩니다.
- CI 조회 규칙을 사용하여 애플리케이션 취약 항목을 자동으로 생성합니다. 가져오는 동안 타사 취약성이 CWE에 연결되어 AVI를 생성합니다.
- 할당 규칙을 생성하여 애플리케이션 취약한 항목 할당을 자동화합니다.
- 계산기 그룹을 사용하여 비즈니스 영향을 확인하거나, 필터를 사용하여 다양한 조건을 지정하거나, 단순 계산을 적용하거나, 스크립트를 사용하십시오.
- 예정된 정정 활동을 모니터링할 수 있도록 애플리케이션 취약한 항목을 정정하는 예상 시간 범위를 정의하는 정정 대상 규칙을 생성합니다.
- 단일 타사 취약성을 여러 CWE 항목과 연결하고 취약성에 대한 기본 CWE를 찾으면 위험을 결정하는 데 도움이 됩니다. 기본 CWE에 대한 자세한 내용은 을 참조하십시오애플리케이션 취약성 필드.
- 참조용으로 CWE 데이터베이스에서 다운로드하거나 외부 공급업체 통합에서 가져온 CWE 기록을 사용하면 취약성을 에스컬레이션해야 하는지 여부를 결정하는 데 도움이 됩니다. 각 CWE 기록에는 약점을 설명하는 관련 지식 문서도 포함되어 있습니다.
통합에서 조사, 그리고 해결에 이르기까지 정보의 흐름을 따라가는 데 사용합니다 Application Vulnerability Response .
임포트된 취약성 데이터 유형
- 동적 애플리케이션 보안 테스트(DAST)
- DAST 스캔은 애플리케이션에 입력을 보내고 애플리케이션이 실행되는 동안 응답을 모니터링하여 취약성 애플리케이션을 찾습니다. 이 접근 방식은 외부 공격을 모방할 수 있습니다. 동적 스캔 중에는 실행 중인 서비스(URL)에 취약점이 있는지 스캔됩니다. 취약성 결과에는 검색된 취약성의 URL 위치가 포함됩니다.
- 정적 애플리케이션 보안 테스트(SAST)
- SAST 검사는 미사용 애플리케이션의 소스 코드를 검토하고 코드를 작성한 방식에서 취약성을 찾는 데 도움이 됩니다. SAST 검사는 컴파일되지 않은 소스 코드에서 수행되므로 애플리케이션 서비스와 독립적으로 존재합니다. 반환되는 결과에는 검색된 취약성의 파일 및 줄 번호 위치가 포함됩니다.
- 인터랙티브 애플리케이션 보안 테스트(IAST)
- IAST 스캔은 프로그램이 실행되는 동안 프로그램과 상호 작용하여 소프트웨어 취약성을 탐지합니다. 사람의 관찰, 자동화된 테스트 및 센서가 함께 사용되어 애플리케이션과 상호 작용하여 취약성을 찾습니다.
- 소프트웨어 구성 분석(SCA)
- 의 v19.0 Vulnerability Response부터 SCA(소프트웨어 구성 분석) 취약성을 수집할 수 있습니다. SCA 취약성 데이터는 소프트웨어 애플리케이션에서 사용되는 오픈 소스 소프트웨어의 약점을 식별하는 데 도움이 됩니다.
- 침투 테스트
- 침투 테스트 평가 요청을 Application Vulnerability Response 구성하면 애플리케이션 약점이 있는 위치와 이를 수정하기 위해 수행할 수 있는 작업을 이해하는 데 도움이 됩니다.
- 소프트웨어 자재 명세서
- 데이터를 업로드 Software Bill of Materials (SBOM)하여 오픈 소스 구성요소의 취약성을 식별합니다. 자세한 내용은 Software Bill of Materials 탐색 문서를 참조하십시오.
사용 사례
- 검사 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)와 연결합니다.
- 보낸 검색 사람 또는 외부 공급업체 통합에 CMDB 기록이 있는 경우 DAST 스캔 결과를 기존 애플리케이션과 연결합니다.
- 새 애플리케이션이 이전에 식별되지 않았거나 CMDB에 저장되지 않은 경우 DAST 스캔 결과를 새로 삽입된 스캔한 애플리케이션과 연결합니다.
- 이외의 제품 ServiceNow®에서 애플리케이션을 관리할 때 CMDB에 대한 DAST 검사 결과를 저장합니다.
- 이전에 다른 용도로 사용자 지정한 경우 CMDB에 대한 DAST 검사 결과를 저장합니다.
- 소스 코드 리포지토리용 애플리케이션을 수동으로 생성합니다.
- 검사 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)와 연결합니다.
- 소스 코드 리포지토리에 대한 CI를 수동으로 생성합니다.
- 관련 애플리케이션 서비스가 없는 SAST 검사 결과를 저장합니다.
외부 공급업체 통합
에서 지원하는 Application Vulnerability Response 타사 통합은 에서 별도의 애플리케이션으로 사용할 수 있습니다 ServiceNow Store. 자세한 내용은 다른 애플리케이션과 Application Vulnerability Response의 통합 문서를 참조하십시오.
주요 기능
- 공유 API는 DAST, SAST, IAST 및 SCA 데이터와 수동 펜 테스트 결과를 가져옵니다. 침투 테스트 문서를 참조하십시오.
- SBOM 데이터를 가져오는 데 별도의 API가 사용됩니다. 자세한 내용은 Software Bill of Materials 탐색 및 Veracode Vulnerability Integration 문서를 참조하십시오.
- CI 조회 규칙
- 에서 일치하는 구성 관리 데이터베이스(CMDB)애플리케이션 데이터를 자동으로 검색합니다.
- 할당 규칙
- 사용자 그룹, 사용자 그룹 필드 및 스크립트를 기반으로 애플리케이션 취약성을 자동으로 할당합니다.
- 위험 계산기
- 조건 필터를 사용하여 임의의 기준에 따라 계산기를 사용하여 AVI의 영향에 자동으로 우선순위를 지정하고 AVI의 영향을 평가합니다.
- 심각도 매핑
- 애플리케이션 취약한 항목의 필드에 대한 초기 값을 자동으로 계산합니다. 취약성 항목에는 소스 심각도와 표준화된 심각도(심각도 매핑 기준)가 둘 다 있습니다. 심각도는 CWE(Common Weakness Enumeration)에 연결됩니다.
- 정정 대상 규칙
- 애플리케이션 취약한 항목을 정정하기 위한 예상 시간 범위를 정의합니다.
- Reporting
- 보안 태세, 문제 해결 추세 및 가장 중요한 AVI가 있는 상위 10개 애플리케이션 또는 비즈니스 단위에 대한 통찰력을 빠르게 얻을 수 있습니다.
두 스캔 유형의 공통점은 애플리케이션 릴리스입니다. 이름 문자열을 정의하는 애플리케이션 릴리스는 검사한 취약성 결과를 스캐너 측에 그룹화하는 연결 지점입니다. 이러한 방식으로 AVR은 통합을 통해 스캔 결과를 가져올 때 결과가 속한 애플리케이션 릴리스를 알 수 있습니다.
애플리케이션 및 범위에서 구성 항목 [cmdb_ci] 하위 테이블인 스캔한 애플리케이션 [sn_vul_app_scanned_application]이 Vulnerability Response 생성되었습니다. 이 테이블은 애플리케이션 릴리스 추상화를 저장하고 CMDB 관계를 통한 서비스 그래프 기능을 제공합니다. 다음에서 볼 수 있습니다. 모듈. 검사한 애플리케이션의 목록 뷰에는 설정 중에 추가된 부서 및 지원 그룹이 포함되어 있습니다.
애플리케이션 취약한 항목(AVI)
애플리케이션 취약성의 경우 AVR은 취약성을 애플리케이션에 연결하여 AVI(애플리케이션 취약한 항목) 기록을 생성합니다. CMDB Application Vulnerability Response 에서 애플리케이션을 구성하는 요소에 대한 정의가 다양하기 때문에 애플리케이션을 스캔한 애플리케이션으로 제한합니다. 스캔한 애플리케이션은 사용자 환경에서 AVR에서 이름 및 ID로 식별된 애플리케이션입니다. AVI는 스캐너에서 수정 한 것으로 확인될 때까지 최신 검사 요약을 기반으로 합니다. AVI를 더 이상 찾을 수 없는 경우 AVI가 마지막으로 표시된 검사 요약에 연결된 상태로 유지됩니다.
애플리케이션 취약한 항목은 다음에서 볼 수 있습니다. 모듈.
애플리케이션이 CMDB에서 제거되면 연결된 모든 AVI가 닫힙니다.
AVI 양식 필드에 대한 자세한 내용은 을 참조하십시오 애플리케이션 취약한 항목 필드.
의 사용자 그룹 및 역할 Application Vulnerability Response
팀이 함께 작업하여 애플리케이션 취약성 관리를 생성, 관리 및 감독하는 경우가 많습니다. 팀 구성원들 중에는 운영 역할뿐만 뿐만 아니라, 전략적 역할도 가집니다. 대부분의 조직에서 두 가지 이상의 역할에 참여하고 다른 사람과 역할을 공유할 수도 있습니다. Application Vulnerability Response 에서는 세분화된 역할을 포함하는 세 개의 사용자 그룹, 즉 App-Sec 관리자, 애플리케이션 보안 챔피언 및 개발자를 사용합니다. 이러한 그룹 및 역할에 대한 자세한 내용은 을 참조하십시오 Application Vulnerability Response 사용자 그룹 및 역할 .
Application Vulnerability Response 상태
Application Vulnerability Response 는 애플리케이션 취약한 항목(AVI)의 상태에 대한 상태 모델을 제공하며 AVI를 정정할 시기와 방법을 결정하는 데 도움을 줍니다.
애플리케이션 취약한 항목에는 여러 가지 가능한 상태가 있습니다. 자세한 내용은 문서를 참조하십시오 애플리케이션 취약한 항목(AVI) 상태 .