Penetrationstests
Penetrationstests in Application Vulnerability Response Ermöglicht Anwendungsbesitzern, die Sicherheitslage ihrer Anwendung zu bewerten. Es handelt sich um das manuelle Testen einer Anwendung durch das ethische Hacking-Team.
Erforderliche Rollen
Penetrationstests erfordern die folgenden Rollen:
App-Sec-Manager : Enthält Sicherheitsmanager und Anwendungsbesitzer, die die Bewertungsanforderungen für Penetrationstests verwalten. Es enthält die folgenden granularen Rollen:
- sn_vul.App_Manage_Pen_Test_Request
- sn_vul.App_read_all
- cmdb_read
Ethischer Hacker : Enthält Mitglieder des Teams für ethische Hacking, die Penetrationstests von Anwendungen durchführen. Sie enthält die folgenden granularen Rollen:
- sn_vul.App_Update_assignment_Group
- sn_vul.App_Update_assigned_to
- sn_vul.App_Manage_Manual_avits
- sn_vul.App_Manage_Pen_Test_Request_config
- ITIL
- sn_vul.App_read_all
- sn_vul.App_Manage_Pen_Test_Request
- sn_vul.App_Update_State
Weitere Informationen zu diesen Rollen finden Sie unter Application Vulnerability Response Anwendergruppen und Rollen.
Ab v19.0 von Vulnerability Response, Wenn Sie verwenden Veracode Vulnerability Integration, Die Penetrationstest-Tests in Veracode Vulnerability Integration Sind manuelle Ergebnisse von Veracode. Sie sind nicht mit Penetrationstestbewertungsanforderungen verknüpft, die Sie in konfigurieren Application Vulnerability Response. Für weitere Informationen zu Penetrationstestbewertungen von Veracode, Siehe Veracode Vulnerability Integration.
Lebenszyklus von Penetrationstests
Als Anwendungsbesitzer können Sie das Ethical Hacking-Team um eine Penetrationstestbewertung Ihrer Anwendung anfordern. Das ethische Hacking-Team reagiert auf diese Anforderung und erstellt Penetrationstestergebnisse. Diese Ergebnisse sind manuell erstellte angreifbare Anwendungselemente (Avis).
Der Penetrationstests-Workflow deckt den Lebenszyklus von Penetrationstests ab, von der Übermittlung der Testanforderung bis zur Lösung der Ergebnisse des Teams für ethische Hacking.
Penetrationstestbewertung wird angefordert
Ab v19.0 können Sie unter neue Anforderungen erstellen oder vorhandene Anforderungen kopieren an.
Vor v19.0 können Sie als Anwendungsbesitzer mithilfe des ITSM-Servicekatalogs eine Penetrationstestbewertung für Ihre Anwendung anfordern.
Überprüfung der Penetrationstestbewertungsanforderung
Das Ethical Hacking-Team überprüft und bewertet die Anwendung und den Umfang der Penetrationstestbewertungsanforderung und fügt sie dem vorhandenen Backlog hinzu.
Umgebung wird vorbereitet
Das ethische Hacking-Team sendet dann eine Anforderung an den Anwendungsbesitzer, eine Umgebung bereitzustellen, in der er mit dem Testen beginnen kann. Sobald die Umgebung bereit ist, informiert der Anwendungsbesitzer das ethische Hacking-Team.
Weitere Informationen zum Konfigurieren von Testanforderungen finden Sie unter Penetrationstests konfigurieren.
Tests und Berichterstellung der Penetrationstestergebnisse
Das Ethical Hacking-Team kann eine Bibliothek von Anwendungsschwachstelleneinträgen (Aves) erstellen und sie beim Melden der Avis wiederverwenden. Sie können auch den Status der Penetrationstestergebnisse nachverfolgen.
Korrektur und Validierung der Penetrationstestergebnisse
Nachdem die Ergebnisse des Penetrationstests vom Anwendungsteam behoben und gelöst wurden, werden die Korrekturen manuell validiert und vom Team für ethische Hacking geschlossen.
Application Vulnerability Management-Berichte
Verwenden Sie die in verfügbaren Berichte Application Vulnerability Management PA-Dashboard zum Nachverfolgen der Penetrationstestergebnisse.