Penetrationstests
Penetrationstests in Application Vulnerability Response ermöglichen es Anwendungsbesitzern, die Sicherheitslage ihrer Anwendung zu bewerten. Es handelt sich um das manuelle Testen einer Anwendung durch das Team für ethisches Hacken.
Erforderliche Rollen
Penetrationstests erfordern die folgenden Rollen:
App-Sec-Manager: Enthält Sicherheitsmanager und Anwendungsbesitzer, die die Penetrationstest-Bewertungsanforderungen verwalten. Sie enthält die folgenden granularen Rollen:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Ethischer Hacker: Enthält Mitglieder des Teams für ethisches Hacken, die Penetrationstests von Anwendungen durchführen. Sie umfasst die folgenden granularen Rollen:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Weitere Informationen zu diesen Rollen finden Sie unter Application Vulnerability Response -Benutzergruppen und -Rollen.
Ab Version 19.0 von Vulnerability ResponseVeracode Vulnerability Integrationsind die Penetrationsbewertungstests in Veracode Vulnerability Integration bei Verwendung von [] manuelle Ergebnisse von Veracode. Sie sind nicht mit Penetrationstest-Bewertungsanforderungen verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstest-Bewertungen von Veracodefinden Sie unter Veracode Vulnerability Integration.
Lebenszyklus von Penetrationstests
Als Anwendungsbesitzer können Sie das Ethical Hacking-Team um eine Penetrationstestbewertung Ihrer Anwendung bitten. Das Team für ethisches Hacken reagiert auf diese Anforderung und erstellt Penetrationstestergebnisse. Bei diesen Ergebnissen handelt es sich um manuell erstellte angreifbare Anwendungselemente (AVIs).
Der Penetrationstest-Workflow deckt den Penetrationstest-Lebenszyklus ab, von der Testanforderung bis zur Lösung der Ergebnisse des Teams für ethisches Hacken.
Fordern Sie eine Penetrationstestbewertung an
Ab v19.0 können Sie in neue Anforderungen erstellen oder vorhandene Anforderungen kopieren .
Vor v19.0 können Sie als Anwendungsbesitzer mithilfe des ITSM-Servicekatalogs eine Penetrationstestbewertung für Ihre Anwendung anfordern.
Überprüfen der Penetrationstest-Bewertungsanforderung
Das Team für ethisches Hacken überprüft und bewertet die Anwendung und den Umfang der Penetrationstest-Bewertungsanforderung und fügt sie dem vorhandenen Rückstand hinzu.
Umgebung wird vorbereitet
Das Team für ethisches Hacken sendet dann eine Anforderung an den Anwendungsbesitzer, eine Umgebung bereitzustellen, in der er mit dem Testen beginnen kann. Sobald die Umgebung bereit ist, informiert der Anwendungsbesitzer das Team für ethisches Hacken.
Weitere Informationen zum Konfigurieren von Testanforderungen finden Sie unter Konfigurieren Sie Penetrationstests.
Testen und Melden der Penetrationstestergebnisse
Das Team für ethisches Hacken kann eine Bibliothek von Anwendungsschwachstelleneinträgen (AVEs) erstellen und diese beim Melden der AVIs wiederverwenden. Sie können auch den Status der Penetrationstestergebnisse nachverfolgen.
Behebung und Validierung der Penetrationstestergebnisse
Nachdem die Penetrationstestergebnisse vom Anwendungsteam korrigiert und gelöst wurden, werden die Korrekturen manuell validiert und vom Team für ethisches Hacken geschlossen.
Application Vulnerability Management-Berichte
Verwenden Sie die im Application Vulnerability Management PA-Dashboard verfügbaren Berichte, um die Ergebnisse der Penetrationstests nachzuverfolgen.