침투 테스트
의 침투 테스트를 애플리케이션 취약성 대응 사용하면 애플리케이션 소유자가 애플리케이션의 보안 태세를 평가할 수 있습니다. 윤리적 해킹 팀이 응용 프로그램을 수동으로 테스트하는 것입니다.
필요한 역할
침투 테스트에는 다음 역할이 필요합니다.
App-Sec 관리자: 침투 테스트 평가 요청을 관리하는 보안 관리자 및 애플리케이션 소유자를 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
윤리적 해커: 애플리케이션의 침투 테스트를 수행하는 윤리적 해킹 팀의 구성원을 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config입니다.
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
이러한 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할.
의 v19.0 취약성 대응부터 를 사용하는 Veracode Vulnerability Integration경우 의 침투 평가 테스트 Veracode Vulnerability Integration 는 의 수동 결과 Veracode입니다. 에서 애플리케이션 취약성 대응구성하는 침투 테스트 평가 요청에는 연결되지 않습니다. 침투 테스트 평가에 Veracode대한 자세한 내용은 Veracode Vulnerability Integration.
침투 테스트의 수명 주기
애플리케이션 소유자는 애플리케이션의 침투 테스트 평가를 위해 윤리적 해킹 팀에 요청할 수 있습니다. 윤리적 해킹 팀은 이 요청에 따라 조치를 취하고 침투 테스트 결과를 생성합니다. 이러한 결과는 수동으로 생성된 애플리케이션 취약한 항목(AVI)입니다.
침투 테스트 워크플로는 테스트 요청 제기부터 윤리적 해킹 팀의 결과 해결에 이르기까지 침투 테스트 수명 주기를 다룹니다.
침투 테스트 평가 요청
v19.0부터 다음에서 새 요청을 생성하거나 기존 요청을 복사할 수 있습니다. .
v19.0 이전에는 애플리케이션 소유자가 ITSM 서비스 카탈로그를 사용하여 애플리케이션에 대한 침투 테스트 평가를 요청할 수 있었습니다.
침투 테스트 평가 요청 검토
윤리적 해킹 팀은 침투 테스트 평가 요청의 애플리케이션과 범위를 검토하고 평가하여 기존 백로그에 추가합니다.
환경 준비
그런 다음 윤리적 해킹 팀은 애플리케이션 소유자에게 테스트를 시작할 수 있는 환경을 제공하라는 요청을 보냅니다. 환경이 준비되면 애플리케이션 소유자는 윤리적 해킹 팀에 알립니다.
테스트 요청 구성에 대한 자세한 내용은 을 참조하십시오 침투 테스트 구성.
침투 테스트 결과 테스트 및 보고
윤리적 해킹 팀은 AVE(Application Vulnerability Entries) 라이브러리를 만들고 AVI를 보고하는 동안 재사용할 수 있습니다. 또한 침투 테스트 결과의 상태를 추적할 수도 있습니다.
침투 테스트 결과 수정 및 검증
침투 테스트 결과가 애플리케이션 팀에 의해 수정되고 해결되면 수정 사항이 수동으로 검증되고 윤리적 해킹 팀에서 종결됩니다.
애플리케이션 취약성 관리 보고서
PA 대시보드에서 애플리케이션 취약성 관리 제공되는 보고서를 사용하여 침투 테스트 결과를 추적합니다.