Teste de invasão
Teste de invasão em Resposta a vulnerabilidades de aplicações permite que os proprietários da aplicação avaliem a postura de segurança da aplicação. É o teste manual de uma aplicação pela equipe de hacking ético.
Funções necessárias
O teste de invasão requer as seguintes funções:
App-sec Manager : Contém gerentes de segurança e proprietários de aplicações que gerenciam as solicitações de avaliação de teste de invasão. Ele contém as seguintes funções granulares:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Hacker ético : Contém membros da equipe de hacking ético que realizam testes de invasão de aplicações. Ele inclui as seguintes funções granulares:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Para obter mais informações sobre essas funções, consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções.
A partir da v19.0 de Resposta a vulnerabilidades se você estiver usando Integração de Resposta a vulnerabilidades com Veracode, os testes de avaliação de invasão no Integração de Resposta a vulnerabilidades com Veracode são descobertas manuais de Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão que você configura em Resposta a vulnerabilidades de aplicações. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte Integração de Resposta a vulnerabilidades com Veracode.
Ciclo de vida dos testes de invasão
Como proprietário da aplicação, você pode solicitar à equipe de hacking ético uma avaliação de teste de invasão da sua aplicação. A equipe de hacking ético atua nessa solicitação e cria descobertas de teste de invasão. Essas descobertas são itens vulneráveis à aplicação (Avis) criados manualmente.
O fluxo de trabalho de teste de invasão cobre o ciclo de vida do teste de invasão, desde o levantamento da solicitação de teste até a resolução das descobertas da equipe de hacking ético.
Solicitação de uma avaliação de teste de invasão
A partir da v19.0, você pode criar novas solicitações ou copiar solicitações existentes em .
Antes da v19.0, como proprietário da aplicação, você pode solicitar uma avaliação de teste de invasão para sua aplicação usando o catálogo de serviços do ITSM.
Revisando a solicitação de avaliação de teste de invasão
A equipe de hacking ético revisa e avalia a aplicação e o escopo da solicitação de avaliação de teste de invasão e os adiciona ao backlog existente.
Preparando um ambiente
Em seguida, a equipe de invasão ética envia uma solicitação ao proprietário da aplicação para fornecer um ambiente para que eles comecem a testar. Quando o ambiente estiver pronto, o proprietário da aplicação informa a equipe de hacking ético.
Para obter mais informações sobre como configurar solicitações de teste, consulte Configurar testes de invasão.
Testar e relatar as descobertas do teste de invasão
A equipe de hacking ético pode criar uma biblioteca de entradas de vulnerabilidade da aplicação (AVES) e reutilizá-las ao relatar o AVIS. Eles também podem rastrear o status das descobertas do teste de invasão.
Correção e validação das descobertas do teste de invasão
Depois que as descobertas do teste de invasão são corrigidas e resolvidas pela equipe da aplicação, as correções são validadas manualmente e encerradas pela equipe de hacking ético.
Gestão de vulnerabilidades de aplicações relatórios
Use os relatórios disponíveis no Gestão de vulnerabilidades de aplicações Painel de PA para rastrear as descobertas do teste de invasão.