침투 테스트
의 애플리케이션 취약성 대응 침투 테스트를 통해 애플리케이션 소유자는 애플리케이션의 보안 태세를 평가할 수 있습니다. 윤리적 해킹 팀이 애플리케이션을 수동으로 테스트하는 것입니다.
필요한 역할
침투 테스트에는 다음과 같은 역할이 필요합니다.
App-Sec 관리자: 침투 테스트 평가 요청을 관리하는 보안 관리자 및 애플리케이션 소유자를 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_관리_pen_테스트_요청
- sn_vul.app_read_all
- cmdb_read
윤리적 해커: 애플리케이션의 침투 테스트를 수행하는 윤리적 해킹 팀의 구성원을 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_update_assignment_group입니다.
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_관리_pen_테스트_요청
- sn_vul.app_update_state입니다.
이러한 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할.
의 v19.0 취약성 대응부터 를 사용하는 Veracode Vulnerability Integration경우 의 침투 평가 테스트는 Veracode Vulnerability Integration 의 수동 결과 Veracode입니다. 에서 구성하는 애플리케이션 취약성 대응침투 테스트 평가 요청에는 연결되지 않습니다. 의 Veracode침투 테스트 평가에 대한 자세한 내용은 를 Veracode Vulnerability Integration참조하십시오.
침투 테스트 수명 주기
애플리케이션 소유자는 윤리적 해킹 팀에 애플리케이션의 침투 테스트 평가를 요청할 수 있습니다. 윤리적 해킹 팀은 이 요청에 따라 조치를 취하고 침투 테스트 결과를 생성합니다. 이러한 결과는 수동으로 생성된 애플리케이션 취약한 항목(AVI)입니다.
침투 테스트 워크플로우는 테스트 요청 제기부터 윤리적 해킹 팀의 결과 해결에 이르기까지 침투 테스트 수명주기를 다룹니다.
침투 테스트 평가 요청
v19.0부터 다음 위치에서 새 요청을 생성하거나 기존 요청을 복사할 수 있습니다. .
v19.0 이전에는 애플리케이션 소유자가 ITSM 서비스 카탈로그를 사용하여 애플리케이션에 대한 침투 테스트 평가를 요청할 수 있었습니다.
침투 테스트 평가 요청 검토
윤리적 해킹 팀은 침투 테스트 평가 요청의 애플리케이션과 범위를 검토하고 평가하여 기존 백로그에 추가합니다.
환경 준비
그런 다음 윤리적 해킹 팀은 애플리케이션 소유자에게 테스트를 시작할 수 있는 환경을 제공하라는 요청을 보냅니다. 환경이 준비되면 애플리케이션 소유자는 윤리적 해킹 팀에 알립니다.
테스트 요청 구성에 대한 자세한 내용은 다음 문서를 참조하십시오 침투 테스트 구성.
침투 테스트 결과 테스트 및 보고
윤리적 해킹 팀은 AVE(애플리케이션 취약성 항목) 라이브러리를 생성하여 AVI를 보고하는 동안 재사용할 수 있습니다. 또한 침투 테스트 결과의 상태를 추적할 수도 있습니다.
침투 테스트 결과 수정 및 검증
침투 테스트 결과가 애플리케이션 팀에 의해 수정되고 해결되면 수정 사항이 수동으로 검증되고 윤리적 해킹 팀에 의해 종결됩니다.
애플리케이션 취약성 관리 보고서
PA 대시보드에서 애플리케이션 취약성 관리 제공되는 보고서를 사용하여 침투 테스트 결과를 추적합니다.