침투 테스트
의 애플리케이션 취약성 대응 침투 테스트를 통해 애플리케이션 소유자는 애플리케이션의 보안 상태를 평가할 수 있습니다. 윤리적 해킹 팀이 애플리케이션을 수동으로 테스트하는 것입니다.
필요한 역할
침투 테스트에는 다음 역할이 필요합니다.
App-Sec 관리자: 침투 테스트 평가 요청을 관리하는 보안 관리자 및 애플리케이션 소유자를 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
윤리적 해커: 애플리케이션에 대한 침투 테스트를 수행하는 윤리적 해킹 팀의 구성원을 포함합니다. 여기에는 다음과 같은 세분화된 역할이 포함됩니다.
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
이러한 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할.
의 취약성 대응v19.0부터 를 사용하는 Veracode Vulnerability Integration경우 의 침투 평가 테스트 Veracode Vulnerability Integration 는 의 수동 결과 Veracode입니다. 에서 구성 애플리케이션 취약성 대응하는 침투 테스트 평가 요청에는 연결되지 않습니다. 의 침투 테스트 평가에 Veracode대한 자세한 내용은 다음을 참조하십시오 Veracode Vulnerability Integration.
침투 테스트 수명주기
애플리케이션 소유자는 윤리적 해킹 팀에 애플리케이션에 대한 침투 테스트 평가를 요청할 수 있습니다. 윤리적 해킹 팀은 이 요청에 따라 조치를 취하고 침투 테스트 결과를 생성합니다. 이러한 결과는 수동으로 생성된 애플리케이션 취약한 항목(AVI)입니다.
침투 테스트 워크플로우는 테스트 요청 제기부터 윤리적 해킹 팀의 결과 해결까지 침투 테스트 수명주기를 다룹니다.
침투 테스트 평가 요청
v19.0부터는 다음에서 새 요청을 생성하거나 기존 요청을 복사할 수 있습니다. .
v19.0 이전에는 애플리케이션 소유자가 ITSM 서비스 카탈로그를 사용하여 애플리케이션에 대한 침투 테스트 평가를 요청할 수 있습니다.
침투 테스트 평가 요청 검토
윤리적 해킹 팀은 침투 테스트 평가 요청의 애플리케이션과 범위를 검토 및 평가하고 기존 백로그에 추가합니다.
환경 준비
그런 다음 윤리적 해킹 팀은 애플리케이션 소유자에게 테스트를 시작할 수 있는 환경을 제공해 달라는 요청을 보냅니다. 환경이 준비되면 애플리케이션 소유자는 윤리적 해킹 팀에 알립니다.
테스트 요청 구성에 대한 자세한 내용은 다음 문서를 참조하십시오 침투 테스트 구성.
침투 테스트 결과 테스트 및 보고
윤리적 해킹 팀은 AVE(애플리케이션 취약성 항목) 라이브러리를 생성하고 AVI를 보고하는 동안 이를 재사용할 수 있습니다. 또한 침투 테스트 결과의 상태를 추적할 수도 있습니다.
침투 테스트 결과 수정 및 확인
애플리케이션 팀에서 침투 테스트 결과를 수정하고 해결한 후에는 윤리적 해킹 팀에서 수정 사항을 수동으로 확인하고 종결합니다.
애플리케이션 취약성 관리 보고서
PA 대시보드에서 애플리케이션 취약성 관리 사용할 수 있는 보고서를 사용하여 침투 테스트 결과를 추적합니다.