Penetrationstests
Penetrationstests in Application Vulnerability ResponseErmöglicht Anwendungsbesitzern, die Sicherheitslage ihrer Anwendung zu bewerten. Dies ist das manuelle Testen einer Anwendung durch das ethische Hacking-Team.
Erforderliche Rollen
Penetrationstests erfordern die folgenden Rollen:
App-Sec-Manager : Enthält Sicherheitsmanager und Anwendungsbesitzer, die die Bewertungsanforderungen für Penetrationstests verwalten. Enthält die folgenden granularen Rollen:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Ethischer Hacker : Enthält Mitglieder des ethischen Hacking-Teams, die Penetrationstests von Anwendungen durchführen. Es enthält die folgenden granularen Rollen:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- ITIL
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Weitere Informationen zu diesen Rollen finden Sie unter Application Vulnerability Response Anwendergruppen und Rollen.
Beginnend mit v19.0 von Vulnerability Response, Wenn Sie verwenden Veracode Vulnerability Integration, Die Penetrationsprüfungen in Veracode Vulnerability IntegrationSind manuelle Ergebnisse von Veracode. Sie sind nicht mit Penetrationstestbewertungsanforderungen verknüpft, die Sie in konfigurieren Application Vulnerability Response. Für weitere Informationen zu Penetrationstestbewertungen von Veracode, Siehe Veracode Vulnerability Integration.
Lebenszyklus von Penetrationstests
Als Anwendungsbesitzer können Sie das ethische Hacking-Team um eine Penetrationstestbewertung Ihrer Anwendung anfordern. Das ethische Hacking-Team reagiert auf diese Anforderung und erstellt Penetrationstestergebnisse. Diese Ergebnisse sind manuell erstellte angreifbare Anwendungselemente (Avis).
Der Penetrationstest-Workflow deckt den Lebenszyklus von Penetrationstests ab, von der Erstellung der Testanforderung bis zur Lösung der Ergebnisse des ethischen Hacking-Teams.
Penetrationstestbewertung wird angefordert
Ab v19.0 können Sie neue Anforderungen erstellen oder vorhandene Anforderungen unter kopieren an.
Vor v19.0 können Sie als Anwendungsbesitzer mithilfe des ITSM-Servicekatalogs eine Penetrationstestbewertung für Ihre Anwendung anfordern.
Die Anforderung zur Bewertung des Penetrationstests wird überprüft
Das ethische Hacking-Team überprüft und bewertet die Anwendung und den Umfang der Penetrationstestbewertungsanforderung und fügt sie dem vorhandenen Backlog hinzu.
Umgebung wird vorbereitet
Das ethische Hacking-Team sendet dann eine Anforderung an den Anwendungsbesitzer, eine Umgebung bereitzustellen, in der er mit dem Testen beginnen kann. Sobald die Umgebung bereit ist, informiert der Anwendungsbesitzer das ethische Hacking-Team.
Weitere Informationen zum Konfigurieren von Testanforderungen finden Sie unter Penetrationstests konfigurieren.
Tests und Berichterstellung der Penetrationstestergebnisse
Das ethische Hacking-Team kann eine Bibliothek von Anwendungsschwachstelleneinträgen (Aves) erstellen und sie beim Melden des Avis wiederverwenden. Sie können auch den Status der Penetrationstestergebnisse nachverfolgen.
Korrektur und Validierung der Penetrationstestergebnisse
Nachdem die Ergebnisse des Penetrationstests vom Anwendungsteam behoben und gelöst wurden, werden die Korrekturen manuell validiert und vom Team für ethische Hacker geschlossen.
Application Vulnerability Management Berichte
Verwenden Sie die Berichte, die auf verfügbar sind Application Vulnerability ManagementPA-Dashboard zum Nachverfolgen der Penetrationstestergebnisse.