Teste de invasão
O teste de invasão em Application Vulnerability Response permite que os responsáveis pela aplicação avaliem a postura de segurança de sua aplicação. É o teste manual de uma aplicação pela equipe de hackers éticos.
Funções necessárias
O teste de invasão requer as seguintes funções:
App-Sec Manager: contém gerentes de segurança e responsáveis pela aplicação que gerenciam as solicitações de avaliação de teste de invasão. Ele contém as seguintes funções granulares:
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
Hacker ético: contém membros da equipe de hackers éticos que realizam testes de invasão de aplicações. Ele inclui as seguintes funções granulares:
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Para obter mais informações sobre essas funções, consulte Application Vulnerability Response grupos de usuários e funções.
A partir da v19.0 de Vulnerability Response, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais de Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão configurada em Application Vulnerability Response. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte o Veracode Vulnerability Integration.
Ciclo de vida dos testes de invasão
Como proprietário da aplicação, você pode solicitar à equipe de invasão ética uma avaliação de teste de invasão da sua aplicação. A equipe de invasão ética atua nesta solicitação e cria descobertas de teste de invasão. Essas descobertas são itens vulneráveis de aplicação (IVAs) criados manualmente.
O fluxo de trabalho de teste de invasão cobre o ciclo de vida do teste de invasão, desde o aumento da solicitação de teste até a resolução das descobertas da equipe de invasão ética.
Como solicitar uma avaliação de teste de invasão
A partir da v19.0, você pode criar novas solicitações ou copiar solicitações existentes em .
Antes da v19.0, como proprietário da aplicação, você pode solicitar uma avaliação de teste de invasão para sua aplicação usando o Catálogo de serviços do ITSM.
Revisando a solicitação de avaliação de teste de invasão
A equipe de invasão ética revisa e avalia a aplicação e o escopo da solicitação de avaliação de teste de invasão e os adiciona ao backlog existente.
Preparando um ambiente
A equipe de invasão ética envia uma solicitação ao proprietário da aplicação para fornecer um ambiente para que ele inicie o teste. Quando o ambiente estiver pronto, o proprietário da aplicação informará a equipe de hackers éticos.
Para obter mais informações sobre como configurar solicitações de teste, consulte Configurar teste de invasão.
Testar e relatar as descobertas do teste de invasão
A equipe de hackers éticos pode criar uma biblioteca de entradas de vulnerabilidade da aplicação (AVEs) e reutilizá-las ao relatar os AVIs. Eles também podem rastrear o status das descobertas do teste de invasão.
Corrigindo e validando as descobertas do teste de invasão
Depois que as descobertas do teste de invasão são corrigidas e resolvidas pela equipe de aplicações, as correções são validadas manualmente e encerradas pela equipe de hackers éticos.
Gerenciamento de vulnerabilidade de aplicação relatórios
Use os relatórios disponíveis no painel Gerenciamento de vulnerabilidade de aplicação do PA para rastrear as descobertas do teste de invasão.