Come funziona il Dynamic Application Security Testing (DAST)?
Le soluzioni DAST identificano i potenziali campi di input all'interno di un'applicazione e poi vi inviano vari input insoliti o dannosi. Questo può includere sia tentativi di exploit di tipi comuni di vulnerabilità - come comandi di iniezione SQL, vulnerabilità di cross-site scripting (XSS) e stringhe di input lunghe - sia input insoliti che potrebbero scoprire problemi di convalida degli input e di gestione della memoria all'interno di un'applicazione.
In base alla risposta dell'applicazione a vari input, lo strumento DAST identifica se contiene o meno una particolare vulnerabilità. Ad esempio, se un attacco di SQL injection fornisce un accesso non autorizzato ai dati o un'applicazione si blocca a causa di un input non valido o malformato, questo indica una vulnerabilità sfruttabile.
Perché il DAST è importante
Le soluzioni DAST sono progettate per identificare le potenziali vulnerabilità all'interno di un'applicazione in esecuzione. In questo modo è possibile trovare vulnerabilità di configurazione o di runtime che possono avere un impatto sulla funzionalità e sulla sicurezza dell'applicazione.
Pro e contro
Le soluzioni DAST sono una componente essenziale di una strategia di sicurezza applicativa aziendale. Alcuni dei principali vantaggi di una soluzione DAST includono:
- Rilevare i problemi di runtime: Gli scanner DAST interagiscono con un'applicazione in esecuzione, consentendo di rilevare i problemi sia in fase di compilazione che di esecuzione all'interno di un'applicazione.
- Basso tasso di falsi positivi: DAST identifica le vulnerabilità sfruttandole, consentendo di verificare che una potenziale vulnerabilità rappresenti effettivamente una minaccia per la funzionalità o la sicurezza di un'applicazione.
- Agnostico della lingua: Le soluzioni DAST testano l'applicazione in esecuzione in una valutazione black-box, il che significa che può essere utilizzata per applicazioni scritte in qualsiasi linguaggio per qualsiasi ambiente.
Nonostante i suoi numerosi vantaggi, il DAST non è una soluzione completa. Alcuni dei principali svantaggi del DAST includono:
- Apparizione tardiva nell'SDLC: Il DAST richiede l'accesso a un'applicazione in esecuzione, il che significa che può essere eseguito solo in una fase avanzata del ciclo di vita dello sviluppo del software (SDLC), quando le vulnerabilità sono più costose da correggere.
- Posizione della vulnerabilità: Le soluzioni DAST possono identificare l'esistenza di una vulnerabilità all'interno di un'applicazione, ma non hanno accesso al codice sorgente, quindi non possono trovare la posizione esatta all'interno della base di codice.
- Copertura del codice: Le soluzioni DAST valutano un'applicazione in esecuzione, il che significa che potrebbero non notare vulnerabilità in parti del codice che non vengono eseguite.
DAST contro SAST
I test statici di sicurezza delle applicazioni (SAST) eseguono l'analisi del codice sorgente di un'applicazione, anziché interagire con un'applicazione in esecuzione. DAST e SAST sono approcci complementari alla sicurezza delle applicazioni. Alcune delle principali differenze tra DAST e SAST comprendono:
- Tipo di test: SAST è una scansione di vulnerabilità white-box con accesso completo al codice sorgente dell'applicazione, mentre DAST è una valutazione black-box senza conoscenza degli interni dell'applicazione.
- Maturità del codice richiesta: Le soluzioni SAST analizzano il codice sorgente, il che consente loro di funzionare su codice parziale. Le soluzioni DAST possono analizzare solo le applicazioni in esecuzione, che richiedono un codice più maturo.
- Fase dell'SDLC: La capacità di SAST di analizzare il codice sorgente consente di eseguirlo prima nell'SDLC rispetto a DAST, che richiede un'applicazione in esecuzione.
- Costo della riparazione: Dal momento che l'analisi SAST avviene prima nell'SDLC, la correzione delle vulnerabilità identificate costa meno che con il DAST. Più si è avanti nell'SDLC, maggiore è la quantità di codice che potrebbe essere necessario correggere e minore è il tempo a disposizione per farlo.
- Copertura delle vulnerabilità: Le soluzioni DAST sono in grado di identificare le vulnerabilità di runtime e gli errori di configurazione che le soluzioni SAST non possono fare, poiché il codice non è in esecuzione durante l'analisi SAST.
- Posizione della vulnerabilità: Le soluzioni SAST analizzano il codice sorgente, quindi sanno esattamente dove si trova una vulnerabilità in un'applicazione. DAST sa solo che esiste una vulnerabilità, ma non può indicare una particolare linea di codice.
- Rilevamenti di falsi positivi: DAST interagisce con un'applicazione, consentendo di determinare se una potenziale vulnerabilità ha effettivamente un impatto sulla funzionalità dell'applicazione. SAST funziona solo sulla base di un modello di app e presenta un tasso più elevato di falsi positivi.
Migliorare la sicurezza delle applicazioni con DAST
Le pratiche di sicurezza applicativa sono fondamentali per proteggere i carichi di lavoro basati sul cloud dallo sfruttamento. DAST offre la capacità di rilevare un'ampia gamma di vulnerabilità, soprattutto se combinato con SAST. Identificando le vulnerabilità prima che possano essere sfruttate da un aggressore, SAST e DAST riducono drasticamente il costo della riparazione e il loro potenziale impatto su un'organizzazione e sui suoi clienti.
Check Point CloudGuard completa SAST e DAST scansione delle vulnerabilità con protezione delle applicazioni in runtime per i carichi di lavoro basati sul cloud. CloudGuard AppSec analizza ogni richiesta nel suo contesto e apprende l'evoluzione delle applicazioni della sua organizzazione.
Per saperne di più su Check Point CloudGuard AppSec e la sua capacità di migliorare la sicurezza delle applicazioni e dei carichi di lavoro basati sul cloud della sua organizzazione, consulti questo ebook. Poi, Si registri per una demo gratuita per vedere di persona le funzionalità di CloudGuard.
Feedback