Penetrationstests
Penetrationstests in Application Vulnerability Response ermöglichen Anwendungsbesitzern, den Sicherheitsstatus ihrer Anwendung zu bewerten. Es handelt sich um das manuelle Testen einer Anwendung durch das Team für ethisches Hacken.
Erforderliche Rollen
Penetrationstests erfordern die folgenden Rollen:
App-Sec-Manager: Enthält Sicherheitsmanager und Anwendungsbesitzer, die die Bewertungsanforderungen für Penetrationstests verwalten. Sie enthält die folgenden granularen Rollen:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Ethischer Hacker: Enthält Mitglieder des Teams für ethisches Hacken, die Penetrationstests für Anwendungen durchführen. Sie enthält die folgenden granularen Rollen:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- ITIL
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Weitere Informationen zu diesen Rollen finden Sie unter Application Vulnerability Response Benutzergruppen und -rollen.
Ab v19.0 von Vulnerability Responsesind, wenn Sie Veracode Vulnerability Integrationverwenden, die Penetrationsbewertungstests in Veracode Vulnerability Integration manuelle Ergebnisse von Veracode. Sie sind nicht mit Bewertungsanforderungen für Penetrationstests verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstestbewertungen von Veracodefinden Sie unter Veracode Vulnerability Integration.
Lebenszyklus von Penetrationstests
Als Besitzer der Anwendung können Sie das Team für ethisches Hacken um einen Penetrationstest Ihrer Anwendung bitten. Das Team für ethisches Hacken bearbeitet diese Anforderung und erstellt Ergebnisse für Penetrationstests. Bei diesen Ergebnissen handelt es sich um manuell erstellte angreifbare Anwendungselemente (Application Vulnerable Items, AVIs).
Der Penetrationstest-Workflow deckt den Lebenszyklus für Penetrationstests ab, von der Erstellung der Testanforderung bis zur Lösung der Ergebnisse des Teams für ethisches Hacken.
Penetrationstestbewertung wird angefordert
Ab v19.0 können Sie unter neue Anforderungen erstellen oder vorhandene Anforderungen kopieren an.
Vor v19.0 können Sie als Anwendungsbesitzer mithilfe des ITSM-Servicekatalogs eine Penetrationstestbewertung für Ihre Anwendung anfordern.
Die Bewertungsanforderung für den Penetrationstest wird überprüft
Das Team für ethisches Hacken überprüft und bewertet die Anwendung und den Umfang der Penetrationstest-Bewertungsanforderung und fügt sie dem vorhandenen Backlog hinzu.
Vorbereiten einer -Umgebung
Das Team für ethisches Hacken sendet dann eine Anforderung an den Anwendungsbesitzer, eine Umgebung bereitzustellen, in der er mit dem Testen beginnen kann. Sobald die Umgebung bereit ist, informiert der Besitzer der Anwendung das Team für ethisches Hacken.
Weitere Informationen zum Konfigurieren von Testanforderungen finden Sie unter Konfigurieren Sie Penetrationstests.
Testen und Melden der Penetrationstestergebnisse
Das Team für ethisches Hacken kann eine Bibliothek mit Einträgen zu Anwendungsschwachstellen erstellen und diese beim Melden der AVIs wiederverwenden. Sie können auch den Status der Penetrationstestergebnisse verfolgen.
Penetrationstestergebnisse korrigieren und validieren
Nachdem die Penetrationstestergebnisse vom Anwendungsteam korrigiert und gelöst wurden, werden die Korrekturen manuell validiert und vom Team für ethisches Hacken geschlossen.
Application Vulnerability Management-Berichte
Verwenden Sie die im PA-Dashboard Application Vulnerability Management verfügbaren Berichte, um die Ergebnisse von Penetrationstests nachzuverfolgen.