Explorar o Application Vulnerability Response

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Vulnerabilidades de aplicação são vulnerabilidades em suas aplicações de software personalizadas que são verificadas durante todo o ciclo de vida de desenvolvimento da aplicação.

    Visão geral de Application Vulnerability Response e versões disponíveis

    Application Vulnerability Response (AVR) é a parte da aplicação Vulnerability Response que processa vulnerabilidades da aplicação.

    Tabela 1. Versões disponíveis
    Versão de lançamento Notas de versão

    Vulnerability Response v21.0

    Vulnerability Response v20.0

    Vulnerability Response v19.0

    Vulnerability Response v18.2

    Vulnerability Response v18.0

    		 Application Vulnerability Response release notes

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Como ele funciona

    Os dados de vulnerabilidade são importados de fontes internas e externas, como Common Weakness Enumeration (CWE) ou integrações de terceiros. Depois que os dados são importados, eles são comparados aos dados da aplicação na aplicação Configuration Management Database (CMDB) e processados na aplicação Application Vulnerability Response. Se houver uma correspondência entre os dados de vulnerabilidade da aplicação importados e os dados no seu CMDB, um item vulnerável da aplicação (IVA) será criado.

    O Application Vulnerability Response inclui os seguintes recursos principais:
    • Integre com scanners de terceiros compatíveis para importar dados de vulnerabilidade.
    • Compare os dados relacionados à vulnerabilidade da aplicação e determine se as vulnerabilidades da aplicação foram encontradas em uma aplicação.
    • Priorize, corrija e gerencie itens vulneráveis da aplicação (IVA). Cada vulnerabilidade da aplicação representa uma entrada de vulnerabilidade no CWE ou nas bibliotecas de terceiros.
    • A partir da versão 18.0 do Vulnerability Response, você pode monitorar e corrigir AVIs no Vulnerability Manager Workspace e no IT Remediation Workspace, respectivamente. Para obter mais informações, consulte Explorando o Vulnerability Manager Workspace e Explorando o Espaço de correção de problemas de TI.
    • Correlacione Application Vulnerability Response dados usando calculadoras e bibliotecas para ajudá-lo a executar as tarefas a seguir.
      • Crie itens vulneráveis da aplicação automaticamente usando as Regras de pesquisa de IC. Durante a importação, as vulnerabilidades de terceiros são associadas a um CWE para criar um AVI.
      • Crie regras de atribuição para automatizar as atribuições de item vulnerável da aplicação.
      • Use grupos de calculadoras para determinar o impacto nos negócios, especificar condições variadas usando filtros, aplicar cálculos simples ou usar um script.
      • Crie regras de destino de correção que definem o intervalo de tempo esperado para corrigir itens vulneráveis da aplicação para que você possa monitorar as próximas atividades de correção.
    • Relacione uma única vulnerabilidade de terceiros a várias entradas do CWE e encontre o CWE primário de uma vulnerabilidade para ajudá-lo a determinar o risco. Para obter mais informações sobre o CWE primário, consulte Campos de vulnerabilidade da aplicação.
    • Use registros do CWE que são baixados do banco de dados do CWE ou importados de integrações de terceiros para referência e ajudá-lo a decidir se você deve escalar uma vulnerabilidade. Cada registro CWE também inclui um artigo de conhecimento associado que descreve o ponto fraco.

    Use Application Vulnerability Response para seguir o fluxo de informações, desde a integração até a investigação e, em seguida, até a resolução.

    Fluxo do Application Vulnerability Response

    Tipos de dados de vulnerabilidade importados

    Application Vulnerability Response O oferece suporte aos seguintes tipos de dados de vulnerabilidade da aplicação importados.
    Nota:
    Antes da v19.0, os dados de SAST, SCA, IAST e de teste de invasão não eram ingeridos e podem ser responsáveis pelas diferenças entre o que é mostrado em Veracode, Fortify e Invicti e o que aparece em Application Vulnerability Response.
    Teste de segurança da aplicação dinâmico (DAST)
    As verificações DAST localizam a aplicação de vulnerabilidades enviando entrada para suas aplicações e monitorando suas respostas enquanto elas estão sendo executadas. Esta abordagem pode imitar um ataque externo. Durante a verificação dinâmica, um serviço em execução (URL) é verificado quanto a vulnerabilidades. Os resultados de vulnerabilidade incluem um local de URL de uma vulnerabilidade descoberta.
    Teste de segurança da aplicação estático (SAST)
    As verificações SAST revisam o código de origem das aplicações em repouso e ajudam a encontrar vulnerabilidades na maneira como você criou seu código. A verificação do SAST ocorre no código de origem não compilado e, portanto, existe independentemente de qualquer serviço de aplicativos. Os resultados retornados incluem um arquivo e um local de número de linha de uma vulnerabilidade descoberta.
    Teste de segurança da aplicação interativo (IAST)
    As verificações IAST detectam vulnerabilidades de software interagindo com o programa enquanto ele está em execução. Observação humana, testes automatizados e sensores são usados em combinação para interagir com a aplicação para localizar vulnerabilidades.
    Análise de composição de software (SCA)
    A partir da v19.0 de Vulnerability Response, você pode ingerir vulnerabilidades de Análise de composição de software (SCA). Os dados de vulnerabilidade do SCA para ajudam a identificar pontos fracos no software de código aberto que está sendo usado em seus aplicativos de software.
    Teste de invasão
    Você configura solicitações de avaliação de teste de invasão em Application Vulnerability Response para ajudá-lo a entender onde estão os pontos fracos da aplicação e o que você pode fazer para corrigi-los.
    Lista de materiais de software
    Carregue Lista de materiais de software (SBOM) dados para identificar vulnerabilidades em seus componentes de código aberto. Para obter mais informações, consulte Explorar o Lista de materiais de software.

    Casos de uso

    Alguns dos seguintes casos de uso de DAST são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Relacione os resultados da verificação do DAST a uma aplicação existente quando houver um registro no CMDB de Descoberta ou uma integração de terceiros.
    • Relacione o resultado da verificação do DAST a uma aplicação verificada recém-inserida quando uma nova aplicação não tiver sido identificada e/ou armazenada no CMDB.
    • Armazene os resultados da verificação DAST para um CMDB ao gerenciar suas aplicações em um produto diferente de ServiceNow®.
    • Armazene os resultados da verificação do DAST para um CMDB se você tiver personalizado anteriormente para outra finalidade.
    • Crie uma aplicação para o repositório de código de origem manualmente.
    Alguns dos casos de uso de SAST compatíveis são compatíveis:
    • Relacione cada vulnerabilidade dos resultados da verificação a algum tipo de cmdb_ci (classe secundária).
    • Crie um IC para o repositório de código de origem manualmente.
    • Armazene resultados de verificação do SAST que não tenham um serviço de aplicações relacionado.

    Integrações de terceiros

    As integrações de terceiros compatíveis com Application Vulnerability Response estão disponíveis como aplicações separadas no ServiceNow Store. Para obter mais informações, consulte Integração do Application Vulnerability Response a outras aplicações.

    Principais recursos

    Regras de pesquisa de IC
    Pesquise automaticamente correspondências nos dados da aplicação no Configuration Management Database (CMDB).
    Regras de atribuição
    Atribua automaticamente vulnerabilidades da aplicação com base em grupos de usuários, campos de grupo de usuários e scripts.
    Calculadoras de Risco
    Priorize e classifique automaticamente o impacto dos AVIs usando calculadoras, com base em qualquer critério, usando filtros de condição.
    Mapeamento de severidade
    Calcule automaticamente os valores iniciais dos campos em itens vulneráveis da aplicação. As entradas de vulnerabilidade têm severidade de origem e severidade normalizada (com base no mapeamento de severidade). A severidade está vinculada à Enumeração de Ponto Fraco Comum (CWE).
    Regras de destino de correção
    Defina o intervalo de tempo esperado para corrigir um item vulnerável da aplicação.
    Relatórios
    Obtenha rapidamente informações sobre sua postura de segurança, tendências de correção e as 10 principais aplicações ou unidades de negócios com os AVIs mais críticos.

    O ponto comum para ambos os tipos de verificações é a versão da aplicação. Uma versão da aplicação, que define uma cadeia de caracteres de Nome, é o ponto de vinculação para agrupar os resultados de vulnerabilidade verificados no lado do scanner. Dessa forma, o AVR sabe a qual versão da aplicação os resultados pertencem ao importar os resultados da verificação por meio da integração.

    Uma tabela secundária de item de configuração [cmdb_ci], Scanned Applications [sn_vul_app_scanned_application], foi criada na aplicação Vulnerability Response e no escopo. Esta tabela armazena a abstração da versão da aplicação e fornece gráficos de serviço por meio de seus relacionamentos do CMDB. Eles podem ser exibidos em Todos > Application Vulnerability Response > Administração > Aplicações módulo. A exibição de lista das aplicações escaneadas contém o departamento e o grupo de suporte adicionados durante a configuração.

    Itens vulneráveis da aplicação (IVAs)

    Para vulnerabilidades da aplicação, o AVR relaciona uma vulnerabilidade a uma aplicação para criar o registro de item vulnerável da aplicação (IVA). Por causa das várias definições do que constitui uma aplicação no CMDB, Application Vulnerability Response limita as aplicações a aplicações verificadas. As aplicações verificadas são as aplicações verificadas em seu ambiente identificadas por AVR como Nome e ID. Os AVIs são baseados no resumo da verificação mais recente até a confirmação Corrigida pelo scanner. Se um AVI não for mais encontrado, ele permanecerá vinculado ao resumo da verificação de onde foi visto pela última vez.

    Itens vulneráveis da aplicação podem ser exibidos em Todos > Application Vulnerability Response > Vulnerabilidades > Itens vulneráveis módulo.

    Se uma aplicação for removida do CMDB, todos os AVIs associados serão encerrados.

    Para obter informações sobre campos de formulário AVI, consulte Campos de item vulnerável da aplicação.

    Grupos de usuários e funções no Application Vulnerability Response

    Frequentemente, uma equipe trabalha em conjunto para criar, gerenciar e supervisionar a gestão de vulnerabilidades da aplicação. Existem funções estratégicas, bem como funções operacionais, entre os membros da equipe. Na maioria das organizações, você pode participar de mais de uma função e geralmente compartilhar funções com outras pessoas. Application Vulnerability Response usa três grupos de usuários que contêm funções granulares: Gerente de App-Sec, Campeão de segurança da aplicação e Desenvolvedor. Consulte Application Vulnerability Response grupos de usuários e funções para obter mais informações sobre esses grupos e funções.

    Application Vulnerability Response estados

    Application Vulnerability Response oferece um modelo de estado para o status dos itens vulneráveis da aplicação (IVAs) e ajuda a determinar quando e como corrigir seus AVIs.

    Um item vulnerável da aplicação tem vários estados possíveis. Consulte Estados do item vulnerável da aplicação (IVA) para obter mais informações.