¿Cómo funciona la prueba dinámica de seguridad de aplicaciones (DAST)?
Las soluciones DAST identifican campos de entrada potenciales dentro de una aplicación y luego les envían varias entradas inusuales o maliciosas. Esto puede incluir tanto intentos de explotación de tipos comunes de vulnerabilidad (como comandos de inyección SQL, vulnerabilidad de secuencias de comandos entre sitios (XSS) y cadenas de entrada largas) como entradas inusuales que podrían revelar problemas con la validación de entradas y la gestión de memoria dentro de una aplicación.
Según la respuesta de la aplicación a diversas entradas, la herramienta DAST identifica si contiene o no una vulnerabilidad particular. Por ejemplo, si un ataque de inyección SQL proporciona acceso no autorizado a datos o una aplicación falla debido a una entrada no válida o con formato incorrecto, esto indica una vulnerabilidad explotable.
Por qué DAST es importante
Las soluciones DAST están diseñadas para identificar vulnerabilidades potenciales dentro de una aplicación en ejecución. Esto hace posible encontrar vulnerabilidades de configuración o tiempo de ejecución que pueden afectar la funcionalidad y seguridad de la aplicación.
Pros y contras
Las soluciones DAST son un componente vital de una estrategia de seguridad de aplicaciones empresariales. Algunas de las principales ventajas de una solución DAST incluyen:
- Detección de problemas de tiempo de ejecución: Los escáneres DAST interactúan con una aplicación en ejecución, lo que le permite detectar problemas de tiempo de compilación y de ejecución dentro de una aplicación.
- Tasas bajas de falsos positivos: DAST identifica vulnerabilidades explotándolas, lo que le permite verificar que una vulnerabilidad potencial realmente representa una amenaza para la funcionalidad o seguridad de una aplicación.
- Agnóstico del idioma: Las soluciones DAST prueban la ejecución de la aplicación en una evaluación de caja negra, lo que significa que se puede utilizar para aplicaciones escritas en cualquier idioma y en cualquier entorno.
A pesar de sus numerosas ventajas, DAST no es una solución integral. Algunas de las principales desventajas de DAST incluyen:
- Aparición tardía en SDLC: DAST requiere acceso a una aplicación en ejecución, lo que significa que solo se puede realizar en una etapa avanzada del ciclo de vida de desarrollo de software (SDLC), cuando las vulnerabilidades son más costosas de remediar.
- Ubicación de la vulnerabilidad: Las soluciones DAST pueden identificar que existe una vulnerabilidad dentro de una aplicación pero no tienen acceso al código fuente, por lo que no pueden encontrar la ubicación exacta dentro del código base.
- Cobertura del código: Las soluciones DAST evalúan una aplicación en ejecución, lo que significa que pueden pasar por alto vulnerabilidades en partes del código que no se ejecutan.
DAST frente a SAST
Static Application Security Testing (SAST) realiza un análisis del código fuente de una aplicación en lugar de interactuar con una aplicación en ejecución. DAST y SAST son enfoques complementarios para la seguridad de aplicaciones. Algunas de las principales diferencias entre DAST y SAST incluyen:
- Tipo de prueba: SAST es un escaneo de vulnerabilidades de caja blanca con acceso completo al código fuente de la aplicación, mientras que DAST es una evaluación de caja negra sin conocimiento de los aspectos internos de la aplicación.
- Madurez requerida del código: Las soluciones SAST escanean el código fuente, lo que les permite ejecutarse en código parcial. Las soluciones DAST solo pueden analizar aplicaciones en ejecución, lo que requiere un código más maduro.
- Fase de SDLC: La capacidad de SAST para analizar el código fuente permite que se realice antes en el SDLC que DAST, lo que requiere una aplicación en ejecución.
- Costo de remediación: Dado que el análisis SAST se produce antes en el SDLC, reparar cualquier vulnerabilidad identificada cuesta menos que con DAST. Cuanto más tarde en el SDLC, más código podría necesitar ser arreglado y menos tiempo disponible para hacerlo.
- Cobertura de vulnerabilidad: Las soluciones DAST pueden identificar vulnerabilidades en tiempo de ejecución y errores de configuración que las soluciones SAST no pueden, ya que el código no se ejecuta durante el análisis SAST.
- Ubicación de la vulnerabilidad: Las soluciones SAST escanean el código fuente para saber exactamente en qué parte de una aplicación se encuentra una vulnerabilidad. DAST solo sabe que existe una vulnerabilidad pero no puede señalar una línea de código en particular.
- Detecciones de falsos positivos: DAST interactúa con una aplicación, lo que le permite determinar si una vulnerabilidad potencial realmente afecta la funcionalidad de una aplicación. SAST solo funciona según un modelo de una aplicación y tiene una tasa más alta de falsos positivos.
Mejorando la seguridad de la aplicación con DAST
Las prácticas sólidas de seguridad de las aplicaciones son vitales para proteger las cargas de trabajo basadas en la nube contra la explotación. DAST brinda la capacidad de detectar una amplia gama de vulnerabilidades, especialmente cuando se combina con SAST. Al identificar las vulnerabilidades antes de que un atacante pueda explotarlas, SAST y DAST reducen drásticamente el costo de la reparación y sus posibles impactos en una organización y sus clientes.
Check Point CloudGuard complementa SAST y DAST escaneo de vulnerabilidades con protección de aplicaciones en tiempo de ejecución para cargas de trabajo basadas en la nube. CloudGuard AppSec analiza cada solicitud en contexto y aprende a medida que evoluciona la aplicación de su organización.
Para saber más sobre Check Point CloudGuard AppSec y su capacidad para mejorar la seguridad de las aplicaciones y cargas de trabajo basadas en la nube de su organización, consulte este libro electrónico. Entonces, regístrese para una demostración gratuita para ver las capacidades de CloudGuard usted mismo.
Comentarios