Explorando Resposta a vulnerabilidades de aplicações
Vulnerabilidades de aplicações são vulnerabilidades em seus aplicativos de software personalizados que são verificados durante todo o ciclo de vida de desenvolvimento da aplicação.
Visão geral de Resposta a vulnerabilidades de aplicações e versões disponíveis
Resposta a vulnerabilidades de aplicações(AVR) é a parte do Resposta a vulnerabilidades aplicação que processa vulnerabilidades da aplicação.
| Versão de lançamento | Notas da versão |
|---|---|
| Resposta a vulnerabilidades v23.0 Resposta a vulnerabilidades v2.0 Resposta a vulnerabilidades v21.0 Resposta a vulnerabilidades v20.0 Resposta a vulnerabilidades v19.0 Resposta a vulnerabilidades v18.2 |
Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão |
Como funciona
Os dados de vulnerabilidade são importados de fontes internas e externas, como a enumeração de pontos fracos comuns (CWE) ou integrações de terceiros. Depois que os dados são importados, eles são comparados com os dados da aplicação em seu Configuration Management Database (CMDB) e processados em Resposta a vulnerabilidades de aplicações aplicação. Se houver uma correspondência entre os dados de vulnerabilidade da aplicação importados e os dados no seu CMDB, um item vulnerável à aplicação (AVIT) será criado.
- Integre com scanners de terceiros compatíveis para importar dados de vulnerabilidade.
- Compare os dados relacionados a vulnerabilidades da aplicação e determine se vulnerabilidades da aplicação são encontradas em uma aplicação.
- Priorizar, corrigir e gerenciar itens vulneráveis à aplicação (AVIT) Cada vulnerabilidade da aplicação representa uma entrada de vulnerabilidade nas bibliotecas CWE ou de terceiros.
- A partir da versão 18,0 de Resposta a vulnerabilidades, Você pode monitorar e corrigir AVITs no Espaço do gerente de vulnerabilidade e. Espaço de correção de problemas de TI respectivamente. Para obter mais informações, consulte Espaço do gerente de vulnerabilidade e Espaço de correção de problemas de TI.
- Correlacionar Resposta a vulnerabilidades de aplicações usando calculadoras e bibliotecas para ajudá-lo a executar as tarefas a seguir.
- Crie itens vulneráveis à aplicação automaticamente usando Regras de pesquisa de IC . Durante a importação, vulnerabilidades de terceiros são associadas a um CWE para criar um AVIT.
- Crie regras de atribuição para automatizar as atribuições de itens vulneráveis da aplicação.
- Use grupos de calculadoras para determinar o impacto nos negócios, especificar condições variadas usando filtros, aplicar cálculos simples ou usar um script.
- Crie regras de destino de correção que definam o intervalo de tempo esperado para corrigir itens vulneráveis à aplicação para que você possa monitorar as próximas atividades de correção.
- Relacione uma única vulnerabilidade de terceiros a várias entradas de CWE e encontre o CWE primário de uma vulnerabilidade para ajudá-lo a determinar o risco. Para obter mais informações sobre CWE primário , consulte Campos Vulnerabilidade da aplicação.
- Use registros do CWE baixados do banco de dados do CWE ou importados de integrações de terceiros como referência para ajudar você a decidir se deve escalar uma vulnerabilidade. Cada registro CWE também inclui um artigo de conhecimento associado que descreve o ponto fraco.
Usar Resposta a vulnerabilidades de aplicações para acompanhar o fluxo de informações, da integração à investigação e, em seguida, à resolução.
Tipos de dados de vulnerabilidade importados
- DAST (Dynamic Application Security Testing, teste dinâmico de segurança da aplicação)
- As verificações DAST encontram vulnerabilidades da aplicação enviando entradas para suas aplicações e monitorando suas respostas enquanto elas estão em execução. Esta abordagem pode imitar um ataque externo. Durante a verificação dinâmica, um serviço em execução (URL) é verificado quanto a vulnerabilidades. Os resultados da vulnerabilidade incluem um local de URL de uma vulnerabilidade descoberta.
- Teste estático de segurança da aplicação (SAST)
- As verificações do SAST revisam o código-fonte das aplicações em repouso e ajudam você a encontrar vulnerabilidades na maneira como você escreveu seu código. A verificação do SAST ocorre em código-fonte não compilado e, portanto, existe independentemente de qualquer serviço de aplicações. Os resultados retornados incluem um local de número de arquivo e linha de uma vulnerabilidade descoberta.
- Teste interativo de segurança de aplicações (IAST)
- As verificações do IAST detectam vulnerabilidades de software interagindo com o programa enquanto ele está em execução. Observação humana, testes automatizados e sensores são usados em combinação para interagir com a aplicação para localizar vulnerabilidades.
- Análise de composição de software (SCA)
- A partir da v19.0 de Resposta a vulnerabilidades, Você pode ingerir vulnerabilidades de Análise de composição de software (SCA). Os dados de vulnerabilidade do SCA ajudam a identificar pontos fracos no software de código aberto que está sendo usado em seus aplicativos de software.
- Teste de invasão
- Você configura solicitações de avaliação de teste de invasão em Resposta a vulnerabilidades de aplicações ajudá-lo a entender onde estão os pontos fracos da sua aplicação e o que você pode fazer para corrigi-los.
- Lista de materiais de software
- Upload Lista de materiais de software( SBOM) para identificar vulnerabilidades em seus componentes de código-fonte aberto. Para obter mais informações, consulte Explorando Lista de materiais de software.
Casos de uso
- Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
- Relacione os resultados da verificação DAST a uma aplicação existente quando houver um registro no CMDB de Descoberta ou uma integração de terceiros.
- Relacione o resultado da verificação DAST a uma aplicação verificada recém-inserida quando uma nova aplicação não tiver sido identificada e/ou armazenada anteriormente no CMDB.
- Armazene os resultados da verificação DAST para um CMDB ao gerenciar suas aplicações em um produto diferente de ServiceNow®.
- Armazene os resultados da verificação DAST para um CMDB se você tiver personalizado anteriormente para alguma outra finalidade.
- Crie uma aplicação para o repositório de código-fonte manualmente.
- Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
- Crie um IC para o repositório de código de origem manualmente.
- Armazene os resultados da verificação SAST que estão sem um serviço de aplicações relacionado.
Integrações de terceiros
As integrações de terceiros compatíveis com Resposta a vulnerabilidades de aplicações estão disponíveis como aplicações separadas no ServiceNow Store. Para obter mais informações, consulte Integração do Resposta a vulnerabilidades de aplicações a outras aplicações.
Principais recursos
- Uma API compartilhada importa DAST, SAST, IAST E dados do SCA e resultados de testes manuais da caneta. Consulte Teste de invasão.
- Uma API separada é usada para importar dados do SBOM. Para obter mais informações, consulte Explorando Lista de materiais de software e Integração de Resposta a vulnerabilidades com Veracode.
- Regras de pesquisa de IC
- Pesquisa automaticamente correspondências nos dados da aplicação no Configuration Management Database (CMDB).
- Regras de atribuição
- Atribua automaticamente vulnerabilidades da aplicação com base em grupos de usuários, campos de grupo de usuários e scripts.
- Calculadoras de risco
- Priorize e classifique automaticamente o impacto de AVITs usando calculadoras, com base em qualquer critério, usando filtros de condição.
- Mapeamento de severidade
- Calcular automaticamente os valores iniciais para campos em itens vulneráveis à aplicação. As entradas de vulnerabilidade têm severidade de origem e severidade normalizada (com base no mapeamento de gravidade). A gravidade está vinculada à enumeração de pontos fracos comuns (CWE).
- Regras de meta da correção
- Defina o intervalo de tempo esperado para corrigir um item vulnerável à aplicação.
- Emissão de relatórios
- Obtenha rapidamente informações sobre sua postura de segurança, tendências de correção e 10 principais aplicações ou unidades de negócios com os AVITs mais críticos.
Ambos os tipos de verificações são comuns na versão da aplicação. Uma versão da aplicação, que define um Nome cadeia de caracteres, é o ponto de vinculação para agrupar resultados de vulnerabilidade verificados no lado do scanner. Desta forma, o AVR sabe a qual versão da aplicação os resultados pertencem ao importar resultados de verificação por meio da integração.
Uma tabela secundária Item de configuração [cmdb_ci], Aplicações verificadas [sn_vul_app_scan_application], foi criada em Resposta a vulnerabilidades aplicação e escopo. Esta tabela armazena a abstração da versão da aplicação e fornece gráficos de serviço por meio de seus relacionamentos do CMDB. Eles podem ser visualizados no módulo. A exibição de lista para aplicações verificadas contém Departamento e. Grupo de suporte adicionado durante a configuração.
Itens vulneráveis à aplicação (AVITs)
Para vulnerabilidades da aplicação, o AVR relaciona uma vulnerabilidade a uma aplicação para criar o registro de item vulnerável à aplicação (AVIT). Devido às várias definições do que constitui uma aplicação no CMDB, Resposta a vulnerabilidades de aplicações limita aplicações a aplicações verificadas. Aplicações verificadas são as aplicações verificadas em seu ambiente identificadas pelo AVR como Nome e. ID . AVITs são baseados no resumo da verificação mais recente até a confirmação Corrigido pelo scanner. Se um AVIT não for mais encontrado, ele permanecerá vinculado ao resumo da verificação em que foi visto pela última vez.
Itens vulneráveis à aplicação podem ser exibidos no módulo.
Se uma aplicação for removida do CMDB, todos os AVITs associados serão encerrados.
Para obter informações sobre campos de formulário AVIT, consulte Campos de Item vulnerável da aplicação.
Grupos de usuários e funções em Resposta a vulnerabilidades de aplicações
Muitas vezes, uma equipe trabalha em conjunto para criar, gerenciar e supervisionar o gerenciamento de vulnerabilidades da aplicação. Existem funções estratégicas, bem como funções operacionais, entre os membros da equipe. Na maioria das organizações, você pode participar de mais de uma função e geralmente compartilhar funções com outras pessoas. Resposta a vulnerabilidades de aplicações Usa três grupos de usuários que contêm funções granulares: Gerenciador da App-Sec, Campeão de segurança da aplicação e Desenvolvedor. Consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções para obter mais informações sobre esses grupos e funções.
Resposta a vulnerabilidades de aplicações estados
Resposta a vulnerabilidades de aplicações Oferece um modelo de estado para o status de seus itens vulneráveis à aplicação (AVITs) e ajuda você a determinar quando e como corrigir seus AVITs.
Um item vulnerável à aplicação tem vários estados possíveis, consulte estados de item vulnerável à aplicação (AVI) para obter mais informações.
Resposta a vulnerabilidades aplicações e. CSDM tabelas
. Resposta a vulnerabilidades, Resposta a vulnerabilidades de aplicações integrações de vulnerabilidades de terceiros e Lista de materiais de software gerenciar aplicações (contribuir com dados para) CSDM tabelas. Esses aplicativos também usam dados do CSDM tabelas geradas por outras aplicações. Vários ServiceNow os produtos, portanto, se beneficiam e agregam valor a eles Operações de segurança aplicações. Para obter mais informações, consulte Resposta a vulnerabilidades aplicações e. CSDM tabelas.