Explorando Resposta a vulnerabilidades de aplicações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 8 min. de leitura

    • As vulnerabilidades da aplicação são vulnerabilidades em suas aplicações de software personalizadas que são verificadas durante todo o ciclo de vida de desenvolvimento da aplicação.

    Visão geral de Resposta a vulnerabilidades de aplicaçõese versões disponíveis

    Resposta a vulnerabilidades de aplicações(AVR) é a parte do Resposta a vulnerabilidadesaplicação que processa vulnerabilidades da aplicação.

    Tabela 1. Versões disponíveis
    Versão de lançamento Notas da versão

    Resposta a vulnerabilidades v23.0

    Resposta a vulnerabilidades v2.0

    Resposta a vulnerabilidades v21.0

    Resposta a vulnerabilidades v20.0

    Resposta a vulnerabilidades v19.0

    Resposta a vulnerabilidades v18.2

    		 Application Vulnerability Response release notes

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade de resposta a vulnerabilidades e mudanças de esquema de versão

    Como funciona

    Os dados de vulnerabilidade são importados de fontes internas e externas, como a enumeração de pontos fracos comuns (CWE) ou integrações de terceiros. Depois que os dados são importados, eles são comparados com os dados da aplicação no Configuration Management Database (CMDB)e processados no Resposta a vulnerabilidades de aplicaçõesaplicação. Se existir uma correspondência entre os dados de vulnerabilidade da aplicação importados e os dados no CMDB, um item vulnerável à aplicação (AVIT) será criado.

    . Resposta a vulnerabilidades de aplicaçõesinclui os seguintes recursos principais:
    • Integre-se a scanners de terceiros compatíveis para importar dados de vulnerabilidade.
    • Compare os dados relacionados a vulnerabilidades da aplicação e determine se vulnerabilidades da aplicação são encontradas em uma aplicação.
    • Priorizar, corrigir e gerenciar itens vulneráveis da aplicação (Avit)s. Cada vulnerabilidade da aplicação representa uma entrada de vulnerabilidade nas bibliotecas CWE ou de terceiros.
    • A partir da versão 18,0 de Resposta a vulnerabilidades, Você pode monitorar e corrigir AVITs no Vulnerability Manager Workspacee. Espaço de correção de problemas de TIrespectivamente. Para obter mais informações, consulte Vulnerability Manager Workspace e Espaço de correção de problemas de TI.
    • Correlacionar Resposta a vulnerabilidades de aplicaçõesusando calculadoras e bibliotecas para ajudar você a executar as tarefas a seguir.
      • Crie itens vulneráveis da aplicação automaticamente usando Regras de pesquisa de IC . Durante a importação, vulnerabilidades de terceiros são associadas a um CWE para criar um Avit.
      • Crie regras de atribuição para automatizar as atribuições de itens vulneráveis da aplicação.
      • Use grupos de calculadora para determinar o impacto nos negócios, especificar condições variáveis usando filtros, aplicar cálculos simples ou usar um script.
      • Crie regras de meta de correção que definam o intervalo de tempo esperado para corrigir itens vulneráveis da aplicação para que você possa monitorar as próximas atividades de correção.
    • Relacione uma única vulnerabilidade de terceiros a várias entradas de CWE e encontre o CWE primário de uma vulnerabilidade para ajudar a determinar o risco. Para obter mais informações sobre CWE primário , consulte Campos de Vulnerabilidade da aplicação.
    • Use registros CWE baixados do banco de dados CWE ou importados de integrações de terceiros para referência e ajudar você a decidir se deve escalar uma vulnerabilidade. Cada registro de CWE também inclui um artigo de conhecimento associado que descreve o ponto fraco.

    Uso Resposta a vulnerabilidades de aplicaçõespara acompanhar o fluxo de informações, desde a integração até a investigação e, em seguida, até a resolução.

    Fluxo de resposta a vulnerabilidades da aplicação

    Tipos de dados de vulnerabilidade importados

    Resposta a vulnerabilidades de aplicações compatível com os seguintes tipos de dados de vulnerabilidade da aplicação importados.
    Nota:
    Antes da v19.0, os dados de SAST, SCA, IAST e testes de invasão não eram ingeridos e podem levar em conta as diferenças entre o que é mostrado em Veracode, Fortifye. Invictie o que aparece em Resposta a vulnerabilidades de aplicações.
    Teste dinâmico de segurança da aplicação (DAST)
    As verificações de DAST encontram vulnerabilidades da aplicação enviando entrada para suas aplicações e monitorando suas respostas enquanto elas estão em execução. Essa abordagem pode imitar um ataque externo. Durante a verificação dinâmica, um serviço em execução (URL) é verificado quanto a vulnerabilidades. Os resultados da vulnerabilidade incluem um local de URL de uma vulnerabilidade descoberta.
    Teste de segurança de aplicações estáticas (SAST)
    As verificações de SAST revisam o código-fonte das aplicações em repouso e ajudam você a encontrar vulnerabilidades na maneira como você escreveu seu código. A verificação de SAST ocorre em código-fonte não compilado e, portanto, existe independentemente de qualquer serviço de aplicação. Os resultados retornados incluem um local de número de arquivo e linha de uma vulnerabilidade descoberta.
    Teste de segurança de aplicações interativas (IAST)
    As verificações do IAST detectam vulnerabilidades de software interagindo com o programa enquanto ele está em execução. Observação humana, testes automatizados e sensores são usados em combinação para interagir com a aplicação para localizar vulnerabilidades.
    Análise de composição de software (SCA)
    A partir de v19.0 de Resposta a vulnerabilidades, Você pode ingerir vulnerabilidades de Análise de composição de software (SCA). Os dados de vulnerabilidade do SCA ajudam você a identificar pontos fracos no software de código aberto que está sendo usado em suas aplicações de software.
    Teste de invasão
    Você configura solicitações de avaliação de teste de invasão em Resposta a vulnerabilidades de aplicaçõespara ajudar você a entender onde estão os pontos fracos da sua aplicação e o que você pode fazer para corrigi-los.
    Lista de materiais de software
    Upload Lista de materiais de software( SBOM) para identificar vulnerabilidades em seus componentes de código-fonte aberto. Para obter mais informações, consulte Explorando Lista de materiais de software.

    Casos de uso

    Alguns dos seguintes casos de uso de DAST são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Relacione os resultados da verificação de DAST a uma aplicação existente quando houver um registro no CMDBde Descobertaou uma integração de terceiros.
    • Relacione o resultado da verificação de DAST a uma aplicação verificada recém-inserida quando uma nova aplicação não tiver sido identificada e/ou armazenada anteriormente no CMDB.
    • Armazene os resultados da verificação de DAST para um CMDB ao gerenciar suas aplicações em um produto diferente de ServiceNow®.
    • Armazene os resultados da verificação de DAST para um CMDB se você tiver personalizado anteriormente para outra finalidade.
    • Crie uma aplicação para o repositório de código-fonte manualmente.
    Alguns dos casos de uso do SAST compatíveis são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Crie um IC para o repositório de código-fonte manualmente.
    • Armazene os resultados da verificação de SAST que estão sem um serviço de aplicações relacionado.

    Integrações de terceiros

    As integrações de terceiros compatíveis com Resposta a vulnerabilidades de aplicaçõesestão disponíveis como aplicações separadas no ServiceNow Store. Para obter mais informações, consulte Integração do Resposta a vulnerabilidades de aplicações a outras aplicações.

    Principais recursos

    Regras de pesquisa de IC
    Pesquisa automaticamente correspondências nos dados da aplicação em Configuration Management Database (CMDB).
    Regras de atribuição
    Atribua automaticamente vulnerabilidades da aplicação com base em grupos de usuários, campos de grupo de usuários e scripts.
    Calculadoras de risco
    Priorize e classifique automaticamente o impacto de AVITs usando calculadoras, com base em qualquer critério, usando filtros de condição.
    Mapeamento de severidade
    Calcule automaticamente os valores iniciais para campos em itens vulneráveis da aplicação. As entradas de vulnerabilidade têm gravidade de origem e gravidade normalizada (com base no mapeamento de gravidade). A gravidade está vinculada à enumeração de pontos fracos comuns (CWE).
    Regras de meta da correção
    Defina o intervalo de tempo esperado para corrigir um item vulnerável da aplicação.
    Emissão de relatórios
    Obtenha rapidamente informações sobre sua postura de segurança, tendências de correção e 10 principais aplicações ou unidades de negócios com os AVITs mais críticos.

    O ponto comum para ambos os tipos de verificações é a versão da aplicação. Uma versão da aplicação, que define um Nome cadeia de caracteres, é o ponto de vinculação para agrupar resultados de vulnerabilidade verificados no lado do scanner. Dessa forma, o AVR sabe a qual versão da aplicação os resultados pertencem ao importar resultados de verificação por meio da integração.

    Uma tabela secundária do item de configuração [cmdb_ci], aplicações verificadas [sn_vul_app_scanned_application], foi criada em Resposta a vulnerabilidadesaplicação e escopo. Esta tabela armazena a abstração da versão da aplicação e fornece gráficos de serviço por meio de seus relacionamentos do CMDB. Eles podem ser visualizados no Tudo > Resposta a vulnerabilidades de aplicações > Administração > Aplicações módulo. A exibição de lista para aplicações verificadas contém Departamento e. Grupo de suporte adicionado durante a configuração.

    Itens vulneráveis da aplicação (AVITs)

    Para vulnerabilidades da aplicação, o AVR relaciona uma vulnerabilidade a uma aplicação para criar o registro de item vulnerável da aplicação (AVIT). Devido às várias definições do que constitui uma aplicação no CMDB, Resposta a vulnerabilidades de aplicaçõeslimita as aplicações a aplicações verificadas. As aplicações verificadas são as aplicações verificadas no seu ambiente identificadas pelo AVR como Nome e. ID . AVITs são baseados no resumo de verificação mais recente até serem confirmados Corrigido pelo scanner. Se um Avit não for mais encontrado, ele permanecerá vinculado ao resumo da verificação em que foi visto pela última vez.

    Os itens vulneráveis da aplicação podem ser exibidos no Tudo > Resposta a vulnerabilidades de aplicações > Vulnerabilidades > Itens vulneráveis módulo.

    Se uma aplicação for removida do CMDB, todos os AVITs associados serão encerrados.

    Para obter informações sobre campos de formulário Avit, consulte Campos de item vulnerável da aplicação.

    Grupos de usuários e funções em Resposta a vulnerabilidades de aplicações

    Muitas vezes, uma equipe trabalha em conjunto para criar, gerenciar e supervisionar o gerenciamento de vulnerabilidades da aplicação. Há funções estratégicas, bem como funções operacionais, entre os membros da equipe. Na maioria das organizações, você pode participar de mais de uma função e geralmente compartilhar funções com outras pessoas. Resposta a vulnerabilidades de aplicaçõesUsa três grupos de usuários que contêm funções granulares: Gerente de apps-sec, promotor de segurança de aplicações e desenvolvedor. Consulte Resposta a vulnerabilidades de aplicações funções e grupos de usuáriospara obter mais informações sobre esses grupos e funções.

    Resposta a vulnerabilidades de aplicações estados

    Resposta a vulnerabilidades de aplicações Oferece um modelo de estado para o status de seus itens vulneráveis da aplicação (AVITs) e ajuda você a determinar quando e como corrigir seus AVITs.

    Um item vulnerável da aplicação tem vários estados possíveis, consulte estados do item vulnerável da aplicação (AVI)para obter mais informações.