Application Vulnerability Response erkunden

Übersicht über Application Vulnerability Response und verfügbare Versionen

Application Vulnerability Response (AVR) ist der Teil der Anwendung Vulnerability Response, der Anwendungsschwachstellen verarbeitet.

Tabelle : 1. Verfügbare Versionen
Release-Version	Releasehinweise
Vulnerability Response v23.0 Vulnerability Response v22.0 Vulnerability Response v21.0 Vulnerability Response v20.0 Vulnerability Response v19.0 Vulnerability Response v18.2	Application Vulnerability Response release notes Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

Funktionsweise

Schwachstellendaten werden aus internen und externen Quellen importiert, z. B. Common Weakness Enumeration (CWE) oder Drittanbieterintegrationen. Nach dem Import von Daten werden sie mit Anwendungsdaten in Ihrem Configuration Management Database (CMDB) verglichen und in der Anwendung Application Vulnerability Response ] verarbeitet. Wenn eine Übereinstimmung zwischen importierten Anwendungsschwachstellendaten und Daten in Ihrer CMDB besteht, wird ein angreifbares Element in der Anwendung (Application Vulnerable Item, AVIT) erstellt.

Application Vulnerability Response enthält die folgenden Schlüsselfunktionen:

Integrieren Sie mit unterstützten Scannern von Drittparteien, um Schwachstellendaten zu importieren.
Vergleichen Sie Daten im Zusammenhang mit Anwendungsschwachstellen, und ermitteln Sie, ob in einer Anwendung Anwendungsschwachstellen gefunden wurden.
Priorisieren, korrigieren und verwalten Sie angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVIT). Jede Anwendungsschwachstelle stellt einen Schwachstelleneintrag in den CWE- oder Drittparteibibliotheken dar.
Ab Version 18.0 von Vulnerability Responsekönnen Sie AVITs in Vulnerability Manager Workspace bzw. IT Remediation Workspace überwachen und beheben. Weitere Informationen finden Sie unter Vulnerability Manager Workspace und IT Remediation Workspace.
Korrelieren Sie Daten Application Vulnerability Response mithilfe von Rechnern und Bibliotheken, um die folgenden Aufgaben auszuführen.
- Erstellen Sie mithilfe von CI-Suchregelnautomatisch angreifbare Anwendungselemente. Während des Imports werden einer CWE Schwachstellen von Drittparteien zugeordnet, um eine AVIT zu erstellen.
- Erstellen Sie Zuweisungsregeln, um die Zuweisung von angreifbaren Anwendungselementen zu automatisieren.
- Verwenden Sie Rechnergruppen, um die Geschäftsauswirkung zu bestimmen, variierende Bedingungen mithilfe von Filtern anzugeben, einfache Berechnungen anzuwenden oder ein Skript zu verwenden.
- Erstellen Sie Korrekturzielregeln, die den erwarteten Zeitrahmen für die Korrektur angreifbarer Anwendungselemente definieren, damit Sie bevorstehende Korrekturaktivitäten überwachen können.
Verknüpfen Sie eine einzelne Drittanbieter-Schwachstelle mit mehreren CWE-Einträgen, und suchen Sie die primäre CWE für eine Schwachstelle, um das Risiko zu bestimmen. Weitere Informationen zur primären CWEfinden Sie unter Anwendungsschwachstellen-Felder.
Verwenden Sie CWE-Datensätze, die aus der CWE-Datenbank heruntergeladen oder aus Drittanbieterintegrationen importiert werden, als Referenz, um zu entscheiden, ob Sie eine Schwachstelle eskalieren müssen. Jeder CWE-Datensatz enthält auch einen zugehörigen Wissensartikel, der die Schwachstelle beschreibt.

Verwenden Sie Application Vulnerability Response, um den Informationsfluss von der Integration über die Untersuchung bis zur Lösung zu verfolgen.

Flow für Application Vulnerability Response

Arten der importierten Schwachstellendaten

Application Vulnerability Response unterstützt die folgenden Arten importierter Anwendungsschwachstellendaten.

Hinweis:

Vor v19.0 wurden SAST-, SCA-, IAST- und Penetrationstestdaten nicht erfasst. Dies kann Unterschiede zwischen dem, was in Veracode, Fortifyund Invicti angezeigt wird, und dem, was in Application Vulnerability Responseangezeigt wird, erklären.

Dynamische Anwendungssicherheitstests (Dynamic Application Security Testing, DAST): DAST-Scans ermitteln Schwachstellen in Anwendungen, indem Eingaben an Ihre Anwendungen gesendet und deren Antworten während der Ausführung überwacht werden. Dieser Ansatz kann einen externen Angriff imitieren. Beim dynamischen Scannen wird ein laufender Service (URL) auf Schwachstellen gescannt. Schwachstellenergebnisse enthalten einen URL-Speicherort einer erkannten Schwachstelle.
Statische Anwendungssicherheitstests (Static Application Security Testing, SAST): SAST-Scans überprüfen den Quellcode von Anwendungen im Ruhezustand und helfen Ihnen, Schwachstellen in der Art und Weise zu finden, wie Sie Ihren Code geschrieben haben. Der SAST-Scan erfolgt für nicht kompilierten Quellcode und ist daher unabhängig von Anwendungsservices vorhanden. Die zurückgegebenen Ergebnisse enthalten eine Datei und die Zeilennummer des Speicherorts einer erkannten Schwachstelle.
Interaktive Anwendungssicherheitstests (Interactive Application Security Testing, IAST): IAST-Scans erkennen Softwareschwachstellen durch Interaktion mit dem Programm, während es ausgeführt wird. Beobachtung durch Menschen, automatisierte Tests und Sensoren werden in Kombination verwendet, um mit der Anwendung zu interagieren und Schwachstellen zu lokalisieren.
Softwarezusammensetzungsanalyse (SCA): Ab v19.0 von Vulnerability Responsekönnen Sie SCA-Schwachstellen (Software Composition Analysis) erfassen. SCA-Schwachstellendaten helfen Ihnen, Schwachstellen in der Open Source-Software zu identifizieren, die in Ihren Softwareanwendungen verwendet wird.
Penetrationstests: Sie konfigurieren Bewertungsanforderungen für Penetrationstests in Application Vulnerability Response, um nachvollziehen zu können, wo die Schwachstellen Ihrer Anwendung liegen und was Sie tun können, um sie zu beheben.
Software-Stückliste: Laden Sie Daten Software Bill of Materials (SBOM) hoch, um Schwachstellen in Ihren Open Source-Komponenten zu identifizieren. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

Anwendungsfälle

Einige der folgenden DAST-Anwendungsfälle werden unterstützt:

Ordnen Sie jede Schwachstelle anhand der Scan-Ergebnisse einer Art von cmdb_ci (untergeordnete Klasse) zu.
DAST-Scan-Ergebnisse mit einer vorhandenen Anwendung verknüpfen, wenn in CMDB ein Datensatz von Discovery oder einer Drittanbieterintegration vorhanden ist.
DAST-Scan-Ergebnis mit einer neu eingefügten gescannten Anwendung verknüpfen, wenn eine neue Anwendung zuvor nicht identifiziert und/oder in der CMDB gespeichert wurde.
Speichern Sie DAST-Scan-Ergebnisse für eine CMDB, wenn Sie Ihre Anwendungen in einem anderen -Produkt als ServiceNow®verwalten.
Speichern Sie DAST-Scan-Ergebnisse für eine CMDB, wenn Sie sie zuvor für einen anderen Zweck angepasst haben.
Erstellen Sie manuell eine Anwendung für das Quellcode-Repository.

Einige der unterstützten SAST-Anwendungsfälle werden unterstützt:

Ordnen Sie jede Schwachstelle anhand der Scan-Ergebnisse einer Art von cmdb_ci (untergeordnete Klasse) zu.
Erstellen Sie manuell ein CI für das Quellcode-Repository.
Speichern Sie SAST-Scan-Ergebnisse ohne zugehörigen Anwendungsservice.

Integrationen von Drittparteien

Die von Application Vulnerability Response unterstützten Drittanbieterintegrationen sind als separate Anwendungen in ServiceNow Store] verfügbar. Weitere Informationen finden Sie unter Integration von Application Vulnerability Response mit anderen Anwendungen.

Schlüsselfunktionen

Eine gemeinsam genutzte API importiert DAST-, SAST-, IAST-und SCA-Daten sowie manuelle Pen-Testergebnisse. Weitere Informationen finden Sie unter Penetrationstests.
Für den Import von SBOM-Daten wird eine separate API verwendet. Weitere Informationen finden Sie unter Software Bill of Materials erkunden und Veracode Vulnerability Integration.

CI-Suchregeln: Anwendungsdaten automatisch nach Übereinstimmungen in Configuration Management Database (CMDB)durchsuchen.
Zuweisungsregeln: Weisen Sie Anwendungsschwachstellen automatisch basierend auf Benutzergruppen, Benutzergruppenfeldern und Skripts zu.
Risikorechner: Priorisieren und bewerten Sie die Auswirkungen von AVITs mithilfe von Rechnern automatisch, basierend auf beliebigen Kriterien, indem Sie Bedingungsfilter verwenden.
Schweregradzuordnung: Anfangswerte für Felder in angreifbaren Anwendungselementen automatisch berechnen. Schwachstelleneinträge haben sowohl einen Quellschweregrad als auch einen normalisierten Schweregrad (basierend auf der Schweregradzuordnung). Der Schweregrad ist an die Common Weakness Enumeration (CWE) gebunden.
Korrekturzielregeln: Definieren Sie den erwarteten Zeitrahmen für die Korrektur eines angreifbaren Anwendungselements.
Berichterstellung: Gewinnen Sie schnell Einblicke in Ihre Sicherheitslage, Abhilfetrends und Top-10-Anwendungen oder Geschäftsbereiche mit den wichtigsten AVITs.

Der gemeinsame Punkt für beide Arten von Scans ist das Anwendungs-Release. Ein Anwendungs-Release, das eine Namenszeichenfolge definiert, ist der Verbindungspunkt, um die gescannten Schwachstellenergebnisse auf der Scannerseite zu gruppieren. Auf diese Weise weiß AVR, zu welchem Anwendungs-Release die Ergebnisse gehören, wenn Scan-Ergebnisse über die Integration importiert werden.

Die untergeordnete Tabelle Configuration Item [cmdb_ci], Gescannte Anwendungen [sn_vul_app_scanned_application], wurde in der Anwendung und im Bereich Vulnerability Response erstellt. In dieser Tabelle wird die Abstraktion für das Anwendungs-Release gespeichert, und über ihre CMDB-Beziehungen werden Servicegrafiken bereitgestellt. Sie können im angezeigt werden Alle > Application Vulnerability Response > Administration > Anwendungen Modul. Die Listenansicht für gescannte Anwendungen enthält die Abteilung und die Supportgruppe, die während des Setups hinzugefügt wurden.

Angreifbare Anwendungselemente (AVITs)

Bei Anwendungsschwachstellen verknüpft AVR eine Schwachstelle mit einer Anwendung, um den AVIT-Datensatz (Application Vulnerable Item) zu erstellen. Aufgrund der Vielzahl von Definitionen dessen, was eine Anwendung in der CMDB ausmacht, beschränkt Application Vulnerability Response Anwendungen auf gescannte Anwendungen. Gescannte Anwendungen sind die in Ihrer Umgebung gescannten Anwendungen, die von AVR als Name und IDidentifiziert werden. AVITs basieren auf der neuesten Scan-Zusammenfassung, bis sie vom Scanner behoben werden. Wenn kein AVIT mehr gefunden wird, bleibt er an die Scan-Zusammenfassung gebunden, in der er zuletzt aufgetreten ist.

Angreifbare Anwendungselemente können über angezeigt werden Alle > Application Vulnerability Response > Schwachstellen > Angreifbare Elemente Modul.

Wenn eine Anwendung aus der CMDB entfernt wird, werden alle zugehörigen AVITs geschlossen.

Informationen zu AVIT-Formularfeldern finden Sie unter Felder für angreifbare Anwendungselemente.

Benutzergruppen und -rollen in Application Vulnerability Response

Oft arbeitet ein Team zusammen, um Anwendungsschwachstellen zu erstellen, zu verwalten und das Management von Anwendungsschwachstellen zu überwachen. Unter den Teammitgliedern gibt es strategische Rollen sowie operative Rollen. In den meisten Organisationen können Sie mehr als eine Rolle übernehmen und häufig Rollen mit anderen teilen. Application Vulnerability Response verwendet drei Anwendergruppen mit granularen Rollen: App-Sec-Manager, Anwendungssicherheits-Champion und Entwickler. Weitere Informationen zu diesen Gruppen und Rollen finden Sie unter Application Vulnerability Response Benutzergruppen und -rollen.

Application Vulnerability Response Status

Application Vulnerability Response bietet ein Statusmodell für den Status Ihrer angreifbaren Elemente in der Anwendung (Application Vulnerable Items, AVITs) und hilft Ihnen zu bestimmen, wann und wie Sie Ihre AVITs korrigieren müssen.

Ein angreifbares Anwendungselement hat mehrere mögliche Status. Weitere Informationen finden Sie unter Status des angreifbaren Elements in der Anwendung (Application Vulnerable Item, AVI)..