Criar uma solicitação de avaliação de teste de invasão (antes da v19.0)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Inicie uma solicitação de avaliação de teste de invasão para suas aplicações Web ou APIs. Essas solicitações são enviadas para a equipe de hackers éticos, que então testa esses aplicativos e relata manualmente as descobertas do teste de invasão.

    Antes de Iniciar

    Função necessária: gerente de App-Sec

    Por Que e Quando Desempenhar Esta Tarefa

    O proprietário da aplicação gera uma solicitação de avaliação de teste de invasão para verificar manualmente a aplicação ou as APIs. A equipe de invasão ética testa a aplicação e cria manualmente as descobertas do teste de invasão. Essas descobertas são itens vulneráveis da aplicação (IVAs) criados manualmente.

    O grupo de atribuição padrão para a descoberta do teste de invasão é o grupo configurado no campo "Equipe de aplicação" da solicitação de avaliação de teste de invasão associada. O tipo de atribuição da descoberta do teste de invasão é Manual. As regras de atribuição não podem substituir a atribuição dessas descobertas de teste de invasão.

    A partir da v19.0, você pode criar solicitações de avaliação de teste de invasão diretamente da tabela Solicitações de avaliação de teste de invasão [sn_vul_pen_test_assessment_request_list]. Para obter mais informações, consulte Criar uma solicitação de avaliação de teste de invasão a partir de solicitações existentes (v19.0).

    Procedimento

    1. Antes da v19.0, navegue até até Todos > Autoatendimento > Catálogo de serviços > Serviços > Solicitação de avaliação de teste de invasão.
    2. Opcional: Como alternativa, você pode criar uma solicitação replicando solicitações encerradas.
      Todos os valores da solicitação original são preservados. Os itens vulneráveis da aplicação (IVAs) são copiados automaticamente para a nova solicitação.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de solicitação de avaliação de teste de invasão
      Campo Descrição
      Número Identificador exclusivo gerado para a solicitação de avaliação de teste de invasão.
      Solicitados por Pessoa que está solicitando a avaliação da aplicação.
      Solicitação de avaliação primária Solicitação de avaliação de teste de invasão original usada para criar a solicitação secundária. Ele é criado usando uma solicitação de avaliação encerrada. Visível somente no formulário de solicitação de avaliação secundária.
      Aplicação Selecione uma aplicação usando a opção de pesquisa.
      Tipo de aplicação Selecione uma opção de:
      • Serviço Web (conhecido como API antes da v16.1)
      • Aplicação Web
      • Cliente espesso
      • Móvel (se você selecionar Móvel, a guia Móvel será exibida na parte inferior do formulário com campos adicionais)
      v19.0: tamanho da aplicação Selecione o tamanho da aplicação que você deseja testar.
      • Pequeno
      • Médio(a)
      • Grande
      • Padrão (selecione esta opção se você não tiver certeza do tamanho)
      Tipo de avaliação Selecione o tipo de avaliação em:
      • Teste de invasão completo
      • Teste focado
      • Testar novamente
      Para obter detalhes, consulte Configurar tipos de avaliação para teste de invasão.
      Finalidade da aplicação Descrição da funcionalidade da aplicação.
      Detalhes das stacks de tecnologia Pilha de tecnologia completa do front-end ao back-end, bancos de dados e outras tecnologias importantes.
      É uma aplicação de terceiros? Confirma se esta aplicação pertence a um fornecedor terceirizado.
      Tipos de lista de dados confidenciais acessíveis pela aplicação Tipos de dados confidenciais acessíveis pela aplicação. Por exemplo, dados PII, dados PHI e dados financeiros, como números de cartão de crédito.
      Tipo de autenticação Especifica se esta aplicação usa autenticação LDAP, sua própria autenticação nativa ou outras formas de autenticação.
      A aplicação está no escopo de algum programa de conformidade? Especifica se esta aplicação afeta algum programa de conformidade, como o PCI.
      Contatos da equipe de aplicações Membros da equipe de aplicações a serem contatados pela equipe de hacking ético em caso de dúvidas.
      Data da demonstração Data em que esta aplicação pode ser demonstrada.
      Implantação de produto planejada em Data planejada para implantar esta aplicação na produção.
      Versão/liberação da aplicação planejada para implantação Versão da aplicação planejada para implantação de produção.
      v19.0: aplicação de propriedade de fornecedor terceirizado ou empreendimento conjunto Se você selecionar Sim para este campo, a guia Informações do fornecedor/empreendimento conjunto será exibida com campos adicionais.

      O termo "Cláusula" pode se referir a padrões de teste que incluem quaisquer acordos existentes entre duas ou mais partes.
      Estado Selecione um valor com base no status da solicitação.
      Grupo de atribuição Grupo selecionado para trabalhar nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente de App-Sec.
      Atribuído a Indivíduo do grupo de atribuição selecionado que trabalha nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente de App-Sec.
      Sprint Exibe os sprints com largura de banda disponível para acomodar a solicitação de avaliação com base no campo de tipo de avaliação selecionado.
      Criado em Data e hora em que a solicitação foi criada.
      Data de início dos testes Data e hora em que o teste começa.
      Atualizado em Data e hora em que a solicitação foi atualizada pela última vez.
      Detalhes do teste
      URLs para teste URLs que devem ser incluídos no teste de invasão.
      URLs a serem excluídos URLs que devem ser excluídos do teste de invasão.
      Essa aplicação já foi testada? Especifica se esta aplicação já foi testada quanto à invasão.
      Motivo para testar novamente Motivo para solicitar uma reavaliação do teste de invasão se a aplicação foi testada anteriormente.
      Quando a aplicação foi testada? Intervalo de tempo em que a aplicação foi submetida a teste de invasão.
      Detalhes da conta de teste Detalhes da conta de teste que podem ser usados pela equipe de hackers éticos para testes de invasão.
      Funções da aplicação Funções compatíveis com a aplicação para seus usuários.
      Funções mais usadas Funções usadas com mais frequência na aplicação.
    4. Selecione Enviar.
      Uma notificação por e-mail é enviada para a equipe de invasão ética de que a solicitação foi criada para a aplicação relevante.