Application Vulnerability Response erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Anwendungsschwachstellen sind Schwachstellen in Ihren benutzerdefinierten Softwareanwendungen, die während des gesamten Entwicklungslebenszyklus der Anwendung gescannt werden.

    Übersicht über Application Vulnerability Response und verfügbare Versionen

    Application Vulnerability Response (AVR) ist der Teil der Anwendung Vulnerability Response, die Anwendungsschwachstellen verarbeitet.

    Tabelle : 1. Verfügbare Versionen
    Release-Version Releasehinweise

    Vulnerability Response v21.0

    Vulnerability Response v20.0

    Vulnerability Response v19.0

    Vulnerability Response v18.2

    Vulnerability Response v18.0

    		 Application Vulnerability Response release notes

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes

    Funktionsweise

    Schwachstellendaten werden aus internen und externen Quellen importiert, z. B. Common Weakness Enumeration (CWE) oder Integrationen von Drittanbietern. Nachdem die Daten importiert wurden, werden sie mit Anwendungsdaten in Configuration Management Database (CMDB) verglichen und in der Anwendung Application Vulnerability Response ] verarbeitet. Wenn eine Übereinstimmung zwischen importierten Anwendungsschwachstellendaten und Daten in Ihrer CMDB besteht, wird ein angreifbares Anwendungselement (AVI) erstellt.

    Application Vulnerability Response umfasst die folgenden Hauptfunktionen:
    • Integrieren Sie unterstützte Scanner von Drittparteien, um Schwachstellendaten zu importieren.
    • Vergleichen Sie Daten im Zusammenhang mit Anwendungsschwachstellen, und bestimmen Sie, ob Anwendungsschwachstellen in einer Anwendung gefunden werden.
    • Priorisieren, korrigieren und verwalten Sie angreifbare Elemente in Anwendungen (AVI). Jede Anwendungsschwachstelle stellt einen Schwachstelleneintrag in den Bibliotheken von CWE oder Drittanbietern dar.
    • Ab Version 18.0 von Vulnerability Responsekönnen Sie AVIs im Vulnerability Manager Workspace bzw. IT Remediation Workspace überwachen und korrigieren. Weitere Informationen finden Sie unter Vulnerability Manager Workspace erkunden und IT Remediation Workspace erkunden.
    • Korrelieren Sie Application Vulnerability Response Daten mithilfe von Rechnern und Bibliotheken, um die folgenden Aufgaben auszuführen.
      • Erstellen Sie mithilfe von CI-Suchregelnautomatisch angreifbare Anwendungselemente. Während des Imports werden Schwachstellen von Drittparteien einer CWE zugeordnet, um eine AVI zu erstellen.
      • Erstellen Sie Zuweisungsregeln, um die Zuweisungen von angreifbaren Anwendungselementen zu automatisieren.
      • Verwenden Sie Rechnergruppen, um die geschäftlichen Auswirkungen zu bestimmen, unterschiedliche Bedingungen mithilfe von Filtern anzugeben, einfache Berechnungen anzuwenden oder ein Skript zu verwenden.
      • Erstellen Sie Korrekturzielregeln, die den erwarteten Zeitrahmen für die Korrektur angreifbarer Anwendungselemente definieren, damit Sie bevorstehende Korrekturaktivitäten überwachen können.
    • Verknüpfen Sie eine einzelne Drittpartei-Schwachstelle mit mehreren CWE-Einträgen, und suchen Sie die primäre CWE für eine Schwachstelle, um das Risiko zu bestimmen. Weitere Informationen zur primären CWEfinden Sie unter Anwendungsschwachstellen-Felder.
    • Verwenden Sie CWE-Datensätze, die aus der CWE-Datenbank heruntergeladen oder aus Integrationen von Drittanbietern importiert werden, als Referenz, um zu entscheiden, ob Sie eine Schwachstelle eskalieren müssen. Jeder CWE-Datensatz enthält auch einen zugehörigen Wissensartikel, der die Schwachstelle beschreibt.

    Verwenden Sie Application Vulnerability Response, um den Informationsfluss zu verfolgen, von der Integration über die Untersuchung bis hin zur Lösung.

    Application Vulnerability Response-Flow

    Typen der importierten Schwachstellendaten

    Application Vulnerability Response unterstützt die folgenden Arten von importierten Anwendungsschwachstellendaten.
    Hinweis:
    Vor v19.0 wurden SAST-, SCA-, IAST- und Penetrationstestdaten nicht erfasst, was zu Unterschieden zwischen der Darstellung in Veracode, Fortify und Invicti und der Darstellung in Application Vulnerability Responseführen kann.
    Dynamische Anwendungssicherheitstests (DAST)
    DAST-Scans finden Schwachstellen in Anwendungen, indem sie Eingaben an Ihre Anwendungen senden und deren Antworten überwachen, während sie ausgeführt werden. Dieser Ansatz kann einen Angriff von außen imitieren. Während des dynamischen Scans wird ein ausgeführter Service (URL) auf Schwachstellen gescannt. Schwachstellenergebnisse enthalten einen URL-Speicherort einer erkannten Schwachstelle.
    Statische Anwendungssicherheitstests (SAST)
    SAST-Scans überprüfen den Quellcode von Anwendungen im Ruhezustand und helfen Ihnen, Schwachstellen in der Art und Weise zu finden, wie Sie Ihren Code geschrieben haben. Der SAST-Scan erfolgt für nicht kompilierten Quellcode und ist daher unabhängig von Anwendungsservices vorhanden. Die zurückgegebenen Ergebnisse umfassen eine Datei und eine Zeilennummer des Speicherorts einer erkannten Schwachstelle.
    Interaktive Anwendungssicherheitstests (IAST)
    IAST-Scans erkennen Softwareschwachstellen durch Interaktion mit dem Programm, während es ausgeführt wird. Beobachtung durch Menschen, automatisierte Tests und Sensoren werden in Kombination verwendet, um mit der Anwendung zu interagieren und Schwachstellen zu lokalisieren.
    Software Composition Analysis (SCA)
    Ab v19.0 von Vulnerability Responsekönnen Sie SCA-Schwachstellen (Software Composition Analysis) erfassen. SCA-Schwachstellendaten in helfen Ihnen, Schwachstellen in der Open Source-Software zu identifizieren, die in Ihren Softwareanwendungen verwendet wird.
    Penetrationstests
    Sie konfigurieren Penetrationstest-Bewertungsanforderungen in Application Vulnerability Response, um nachzuvollziehen, wo Ihre Anwendungsschwachstellen liegen und was Sie tun können, um sie zu beheben.
    Software-Stückliste
    Laden Sie Software Bill of Materials (SBOM) Daten hoch, um Schwachstellen in Ihren Open Source-Komponenten zu identifizieren. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

    Anwendungsfälle

    Einige der folgenden DAST-Anwendungsfälle werden unterstützt:
    • Verknüpfen Sie jede Schwachstelle aus Scan-Ergebnissen mit einer Art cmdb_ci (untergeordnete Klasse).
    • Verknüpfen Sie DAST-Scan-Ergebnisse mit einer vorhandenen Anwendung, wenn ein Datensatz in CMDB von Discovery oder einer Drittanbieterintegration vorhanden ist.
    • Verknüpfen Sie das DAST-Scan-Ergebnis mit einer neu eingefügten gescannten Anwendung, wenn eine neue Anwendung zuvor nicht identifiziert und/oder in der CMDB gespeichert wurde.
    • Speichern Sie DAST-Scan-Ergebnisse für eine CMDB, wenn Sie Ihre Anwendungen in einem anderen Produkt als ServiceNow®verwalten.
    • Speichern Sie DAST-Scan-Ergebnisse für eine CMDB, wenn Sie sie zuvor für einen anderen Zweck angepasst haben.
    • Erstellen Sie eine Anwendung für das Quellcode-Repository manuell.
    Einige der unterstützten SAST-Anwendungsfälle werden unterstützt:
    • Verknüpfen Sie jede Schwachstelle aus Scan-Ergebnissen mit einer Art cmdb_ci (untergeordnete Klasse).
    • Erstellen Sie manuell ein CI für das Quellcode-Repository.
    • Speichert SAST-Scan-Ergebnisse ohne zugehörigen Anwendungsservice.

    Integrationen von Drittparteien

    Die von Application Vulnerability Response unterstützten Drittanbieterintegrationen sind als separate Anwendungen in der ServiceNow Storeverfügbar. Weitere Informationen finden Sie unter Integration von Application Vulnerability Response mit anderen Anwendungen.

    Schlüsselfunktionen

    CI-Suchregeln
    Anwendungsdaten automatisch nach Übereinstimmungen in Configuration Management Database (CMDB)durchsuchen.
    Zuweisungsregeln
    Weisen Sie Anwendungsschwachstellen automatisch basierend auf Benutzergruppen, Benutzergruppenfeldern und Skripts zu.
    Risikorechner
    Priorisieren und bewerten Sie die Auswirkung von AVIs automatisch mithilfe von Rechnern basierend auf beliebigen Kriterien mithilfe von Bedingungsfiltern.
    Schweregradzuordnung
    Anfangswerte für Felder in angreifbaren Anwendungselementen automatisch berechnen. Schwachstelleneinträge haben sowohl einen Quellschweregrad als auch einen normalisierten Schweregrad (basierend auf der Schweregradzuordnung). Der Schweregrad ist an die Common Weakness Enumeration (CWE) gebunden.
    Korrekturzielregeln
    Definieren Sie den erwarteten Zeitrahmen für die Korrektur eines angreifbaren Anwendungselements.
    Reporting
    Erhalten Sie schnell Einblick in Ihre Sicherheitslage, Fehlerkorrekturtrends und die 10 wichtigsten Anwendungen oder Geschäftsbereiche mit den wichtigsten AVIs.

    Der gemeinsame Punkt für beide Arten von Scans ist das Anwendungs-Release. Ein Anwendungs-Release, das eine Namenszeichenfolge definiert, ist der Verbindungspunkt, um die gescannten Schwachstellenergebnisse auf der Scanner-Seite zu gruppieren. Auf diese Weise weiß AVR, zu welchem Anwendungs-Release die Ergebnisse gehören, wenn Scan-Ergebnisse über die Integration importiert werden.

    Die untergeordnete Configuration Item-Tabelle [cmdb_ci], Gescannte Anwendungen [sn_vul_app_scanned_application], wurde in der Anwendung und im Bereich Vulnerability Response erstellt. Diese Tabelle speichert die Abstraktion des Anwendungs-Release und bietet Servicegrafiken über ihre CMDB-Beziehungen. Sie können im angezeigt werden Alle > Application Vulnerability Response > Administration > Anwendungen -Modul. Die Listenansicht für gescannte Anwendungen enthält die Abteilung und die Supportgruppe, die während des Setups hinzugefügt wurden.

    Angreifbare Anwendungselemente (AVIs)

    Bei Anwendungsschwachstellen verknüpft AVR eine Schwachstelle mit einer Anwendung, um den Datensatz des angreifbaren Elements (AVI) der Anwendung zu erstellen. Aufgrund der mehreren Definitionen dessen, was eine Anwendung in der CMDB ausmacht, beschränkt Application Vulnerability Response Anwendungen auf gescannte Anwendungen. Gescannte Anwendungen sind die in Ihrer Umgebung gescannten Anwendungen, die von AVR als Name und IDidentifiziert werden. AVIs basieren auf der letzten Scan-Zusammenfassung, bis sie vom Scanner bestätigt wird. Wenn eine AVI nicht mehr gefunden wird, bleibt sie an die Scan-Zusammenfassung gebunden, in der sie zuletzt angezeigt wurde.

    Angreifbare Anwendungselemente können im angezeigt werden Alle > Application Vulnerability Response > Schwachstellen > Angreifbare Elemente -Modul.

    Wenn eine Anwendung aus der CMDB entfernt wird, werden alle zugehörigen AVIs geschlossen.

    Weitere Informationen zu AVI-Formularfeldern finden Sie unter Felder für angreifbares Anwendungselement.

    Benutzergruppen und Rollen in Application Vulnerability Response

    Häufig arbeitet ein Team zusammen, um Anwendungsschwachstellen zu erstellen, zu verwalten und zu überwachen. Unter den Teammitgliedern gibt es strategische Rollen sowie operative Rollen. In den meisten Organisationen nehmen Sie an mehr als einer Rolle teil und teilen sich häufig Rollen mit anderen. Application Vulnerability Response verwendet drei Benutzergruppen mit granularen Rollen: App-Sec-Manager, Application Security Champion und Developer. Weitere Informationen zu diesen Gruppen und Rollen finden Sie unter Application Vulnerability Response -Benutzergruppen und -Rollen.

    Application Vulnerability Response Status

    Application Vulnerability Response bietet ein Statusmodell für den Status Ihrer angreifbaren Elemente (AVIs) und hilft Ihnen zu bestimmen, wann und wie Ihre AVIs korrigiert werden müssen.

    Ein angreifbares Anwendungselement hat mehrere mögliche Status. Weitere Informationen finden Sie unter Status des angreifbaren Elements in der Anwendung (AVI)..