Explorer Application Vulnerability Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Les vulnérabilités d’application sont des vulnérabilités sur vos applications logicielles personnalisées qui sont analysées tout au long du cycle de vie de développement de l’application.

    Vue d’ensemble Application Vulnerability Response et versions disponibles

    Application Vulnerability Response (AVR) est la partie de l’application qui traite les vulnérabilités de l’application Vulnerability Response .

    Tableau 1. Versions disponibles
    Version Notes de publication

    Vulnerability Response vers 21.0

    Vulnerability Response vers 20.0

    Vulnerability Response version 19.0

    Vulnerability Response v18.2

    Vulnerability Response v18.0

    		 Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production

    Fonctionnement

    Les données de vulnérabilité sont importées de sources internes et externes, telles que CWE (Common Weakness Enumeration) ou d’intégrations tierces. Une fois les données importées, elles sont comparées aux données d’application dans votre Base de données de gestion des configurations (CMDB) application, puis traitées dans l’application Application Vulnerability Response . S’il existe une correspondance entre les données de vulnérabilité de l’application importées et les données de votre CMDB, un élément vulnérable de l’application (AVI) est créé.

    Il Application Vulnerability Response comprend les fonctionnalités clés suivantes :
    • Intégrez avec des scanners tiers pris en charge pour importer des données de vulnérabilité.
    • Comparez les données liées à la vulnérabilité d’une application et déterminez si des vulnérabilités d’application sont détectées dans une application.
    • Hiérarchisez, corrigez et gérez les éléments vulnérables de l’application (AVI). Chaque vulnérabilité d’application représente une entrée de vulnérabilité dans la CWE ou les bibliothèques tierces.
    • À partir de la version 18.0 de Vulnerability Response, vous pouvez surveiller et corriger les AVI dans Vulnerability Manager Workspace et IT Remediation Workspace respectivement. Pour plus d'informations, consultez Exploration de l'Espace de travail du gestionnaire de vulnérabilités et Exploration de l'Espace de travail de remédiation IT.
    • Corréler Application Vulnerability Response les données à l’aide de calculatrices et de bibliothèques pour vous aider à effectuer les tâches suivantes.
      • Créez automatiquement des éléments vulnérables d’application à l’aide des règles de recherche de CI. Pendant l’importation, les vulnérabilités tierces sont associées à une CWE pour créer une AVI.
      • Créez des règles d’affectation pour automatiser les affectations d’éléments vulnérables d’applications.
      • Utilisez des groupes de calculateurs pour déterminer l’impact sur l’entreprise, spécifier diverses conditions à l’aide de filtres, appliquer des calculs simples ou utiliser un script.
      • Créez des règles de cibles de rattrapage qui définissent le délai prévu pour le rattrapage des éléments vulnérables de l’application afin de surveiller les activités de rattrapage à venir.
    • Associez une seule vulnérabilité tierce à plusieurs entrées CWE et recherchez la CWE primaire d’une vulnérabilité pour vous aider à déterminer le risque. Pour plus d’informations sur CWE primaire, reportez-vous à Champs de vulnérabilité de l’application.
    • Utilisez les enregistrements CWE qui sont téléchargés à partir de la base de données CWE ou importés à partir d’intégrations tierces pour référence afin de vous aider à décider si vous devez escalader une vulnérabilité. Chaque enregistrement CWE comprend également un article de la base de connaissances associé qui décrit la faiblesse.

    Utilisez cette fonction Application Vulnerability Response pour suivre le flux d’informations, de l’intégration à la résolution, en passant par l’enquête.

    Flux Application Vulnerability Response

    Types de données de vulnérabilité importées

    Application Vulnerability Response prend en charge les types de données de vulnérabilité d’application importées suivants.
    Remarque :
    Avant la version 19.0, les données SAST, SCA, IAST et des tests d’intrusion n’étaient pas ingérées, ce qui peut expliquer les différences entre ce qui est affiché dans Veracode, Fortify et Invicti et ce qui apparaît dans Application Vulnerability Response.
    Test dynamique de sécurité des applications (DAST)
    Les analyses DAST détectent les vulnérabilités de l’application en envoyant une entrée à vos applications et en surveillant leurs réponses pendant qu’elles sont en cours d’exécution. Cette approche pourrait imiter une attaque extérieure. Au cours de l’analyse dynamique, un service en cours d’exécution (URL) est analysé pour rechercher des vulnérabilités. Les résultats de vulnérabilité incluent l’emplacement de l’URL d’une vulnérabilité détectée.
    Test statique de sécurité des applications (SAST)
    Les analyses SAST examinent le code source des applications au repos et vous aident à trouver des vulnérabilités dans la façon dont vous avez écrit votre code. L’analyse SAST a lieu sur du code source non compilé et existe donc indépendamment de tout service d’application. Les résultats renvoyés incluent l’emplacement d’un fichier et d’un numéro de ligne d’une vulnérabilité détectée.
    Test interactif de sécurité des applications (IAST)
    Les analyses IAST détectent les vulnérabilités logicielles en interagissant avec le programme pendant qu’il est en cours d’exécution. L’observation humaine, les tests automatisés et les capteurs sont utilisés en combinaison pour interagir avec l’application afin de localiser les vulnérabilités.
    Analyse de la composition logicielle (SCA)
    À partir de la version 19.0 de , vous pouvez ingérer les vulnérabilités de l’analyse de Vulnerability Responsela composition logicielle (SCA). Les données de vulnérabilité SCA vous aident à identifier les faiblesses des logiciels open source utilisés dans vos applications logicielles.
    Test de pénétration
    Vous configurez des demandes d’évaluation de test de pénétration pour Application Vulnerability Response vous aider à comprendre où se trouvent les faiblesses de votre application et ce que vous pouvez faire pour les corriger.
    Nomenclature logicielle
    Chargez Nomenclature logicielle (SBOM) des données pour identifier les vulnérabilités dans vos composants open source. Consultez Explorer Nomenclature logicielle pour plus d'informations.

    Cas d'utilisation

    Certains des cas d’utilisation DAST suivants sont pris en charge :
    • Associez chaque vulnérabilité des résultats de l’analyse à un type de cmdb_ci (classe enfant).
    • Associez les résultats de l’analyse DAST à une application existante lorsqu’il existe un enregistrement dans l’intégration FROM Détection ou tierceCMDB.
    • Associez le résultat de l’analyse DAST à une application numérisée nouvellement insérée lorsqu’une nouvelle application n’a pas encore été identifiée et/ou stockée dans la CMDB.
    • Stockez les résultats de l’analyse DAST pour une CMDB lorsque vous gérez vos applications dans un produit autre que ServiceNow®.
    • Stockez les résultats de l’analyse DAST pour une CMDB si vous avez précédemment personnalisé à d’autres fins.
    • Créez manuellement une application pour le référentiel de code source.
    Certains des cas d’utilisation SAST pris en charge sont pris en charge :
    • Associez chaque vulnérabilité des résultats de l’analyse à un type de cmdb_ci (classe enfant).
    • Créer manuellement un CI pour le référentiel de code source.
    • Stockez les résultats de l’analyse SAST qui ne sont pas associés à un service d’application.

    Intégrations tierces

    Les intégrations tierces prises en charge par Application Vulnerability Response sont disponibles en tant qu’applications distinctes dans le ServiceNow Store. Consultez Intégrer Application Vulnerability Response avec d'autres applications pour plus d'informations.

    Fonctionnalités principales

    Règles de recherche de CI
    Rechercher automatiquement les correspondances dans les données de l’application Base de données de gestion des configurations (CMDB).
    Règles d'affectation
    Affectez automatiquement les vulnérabilités des applications en fonction des groupes d’utilisateurs, des champs de groupes d’utilisateurs et des scripts.
    Calculateurs de risque
    Hiérarchisez et évaluez automatiquement l’impact des AVI à l’aide de calculateurs, en fonction de n’importe quel critère, en utilisant des filtres de condition.
    Mappage de sévérité
    Calculez automatiquement les valeurs initiales des champs sur les éléments vulnérables de l’application. Les entrées de vulnérabilité ont à la fois une gravité de source et une gravité normalisée (selon le mappage de gravité). La gravité est liée à l’énumération des faiblesses courantes (CWE).
    Règles de cibles de rattrapage
    Définissez le délai prévu pour le rattrapage d’un élément vulnérable de l’application.
    Génération de rapports
    Obtenez rapidement un aperçu de votre posture de sécurité, des tendances de correction et des 10 principales applications ou unités business avec les AVI les plus critiques.

    Le point commun des deux types d’analyses est la version de l’application. Une version de l’application, qui définit une chaîne de nom , est le point de liaison pour regrouper les résultats de vulnérabilité analysés côté scanner. De cette façon, AVR sait à quelle version de l’application appartiennent les résultats lors de l’importation des résultats d’analyse via l’intégration.

    Une table enfant d’élément de configuration [cmdb_ci], Applications numérisées [sn_vul_app_scanned_application], a été créée dans l’application et le Vulnerability Response périmètre. Cette table stocke l’abstraction de la version de l’application et fournit des graphiques de service via ses relations CMDB. Ils peuvent être visualisés à partir de l' Tous > Application Vulnerability Response > Administration > Applications Module. La vue de liste pour les applications numérisées contient le département et le groupe de support ajoutés lors de la configuration.

    Éléments vulnérables de l’application (AVI)

    Pour les vulnérabilités d’application, AVR associe une vulnérabilité à une application pour créer l’enregistrement d’élément vulnérable d’application (AVI). En raison des multiples définitions de ce qui constitue une application dans la CMDB, Application Vulnerability Response limite les applications aux applications analysées. Les applications analysées sont les applications analysées dans votre environnement identifiées par AVR comme nom et ID. Les AVI sont basés sur le dernier résumé de l’analyse jusqu’à ce qu’ils soient confirmés et corrigés par le scanner. Si un AVI est introuvable, il reste lié au résumé de l’analyse où il a été vu pour la dernière fois.

    Les éléments vulnérables de l’application peuvent être consultés à partir de Tous > Application Vulnerability Response > Vulnérabilités > Éléments vulnérables Module.

    Si une application est supprimée de la CMDB, tous les AVI associés sont fermés.

    Pour plus d’informations sur les champs du formulaire AVI, reportez-vous à la section Champs Élément vulnérable d’application.

    Groupes d’utilisateurs et rôles dans Application Vulnerability Response

    Souvent, une équipe travaille ensemble pour créer, gérer et superviser la gestion des vulnérabilités des applications. Des rôles stratégiques, ainsi que des rôles opérationnels, sont attribués aux membres de l'équipe. Dans la plupart des entreprises, vous pouvez endosser plusieurs rôles et souvent partager des rôles avec d’autres personnes. Application Vulnerability Response utilise trois groupes d’utilisateurs contenant des rôles granulaires : Gestionnaire de sécurité des applications, Champion de sécurité des applications et Développeur. Consultez Application Vulnerability Response Groupes d’utilisateurs et rôles pour en savoir plus sur ces groupes et rôles.

    Application Vulnerability Response États

    Application Vulnerability Response offre un modèle d’état pour l’état des éléments vulnérables de votre application (AVI) et vous aide à déterminer quand et comment corriger vos AVI.

    Un élément vulnérable d’application a plusieurs états possibles, voir États de l’élément vulnérable de l’application (AVI) pour plus d’informations.