🕵 Что такое динамическое тестирование безопасности приложений (DAST)?

Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.

Как работает DAST?

Хотя средства DAST не имеют доступа к исходному коду, они обнаруживают недостатки безопасности, атакуя приложение извне. BlackBox или тестирование с использованием черного ящика предполагает изучение средств управления безопасностью, защитных механизмов и дизайна приложения или системы извне с минимальным предварительным знанием их внутреннего устройства.

Поскольку средства DAST не проверяют код, при обнаружении уязвимости они не могут направить тестировщиков к конкретным строкам.

Что нужно знать?

Развертыванием систем DAST часто занимаются специалисты по безопасности. Им приходится настраивать инструмент или разрабатывать тесты или настраивать инструмент, что требует глубокого понимания особенностей отслеживаемых приложений. Для правильного администрирования DAST нужно хорошо знать популярные веб-серверы, серверы приложений и СУБД, а также знать используемые операционные системы, уметь анализировать сетевой трафик и разбираться во множестве смежных технологий.

Каковы преимущества DAST?

Поскольку во время динамического тестирования безопасности приложений имитируется злонамеренное поведение пользователя – это хороший способ продемонстрировать, как именно работают приложения в реальной среде. Своевременно обнаружив уязвимость, можно внести необходимые изменения для предотвращения реальной атаки. Этот метод помогает обнаруживать проблемы, которые команда разработчиков не рассматривала или считала трудными для решения.

Вы будете шокированы тем, как часто атаки оказываются успешными просто потому, что никто не подумал заблокировать проход.

DAST может обнаруживать недоступные другим типам тестирования проблемы, например, с архитектурой информационных систем или с аутентификацией, а также возникающие при работе пользователя с приложением ошибки. Метод DAST позволяет протестировать любое приложение и выявить пропущенные обычными тестами недостатки. Более того, DAST может помочь обеспечить соответствие продукта нормативной документации.

Инструменты для тестирования DAST:

1. Netsparker

Отличное решение DAST, которое позволяет ИТ-персоналу отслеживать потенциальные векторы атак. Этот инструмент особенно полезен для организаций, которые должны продемонстрировать соответствие HIPAA или PCI DSS. Он устанавливается на Windows или Windows Server, а также может работать как облачная служба.

Версия Netsparker Standard доступна даже малым предприятиям без технического персонала. Ее можно использовать для проверки как пользовательских веб-приложений, так и готовых пакетов конструктора веб-сайтов и их компонентов.

2. GitLab Pro

Это последняя версия GitLab – платформа для поддержки CI/CD в DevOps, которая включает механизм DAST, доступный по подписке в виде облачной службы. Система DAST GitLab поддерживает сканирование API и может быть развернута по запросу или по расписанию. Система также включает службу анализа кода SAST. Бесплатно доступна тридцатидневная пробная версия.

3. Acunetix

Это панель автоматизированного динамического тестирования безопасности приложений, разработанная для использования ИТ-специалистами в средних и крупных компаниях. Поддерживаются Windows, macOS и Linux. Хотя функции панели инструментов чрезвычайно хорошо продуманы, цена на эту утилиту, вероятно, сделает ее недоступной небольшим организациям с ограниченным бюджетом. Это скорее инструмент для средних и крупных предприятий. Доступны три варианта продукта: Standard, Premium и Acunetix 360.

4. Rapid7 InsightAppSec

Облачное DAST-решение специализирующейся в области кибербезопасности компании. Rapid7 DAST тестирует OWASP TOP 10, а также другие уязвимости. Он сканирует более 95 уязвимостей, включая межсайтовые сценарии, подделку межсайтовых запросов и SQL-инъекции. Удаленное расположение системы делает ее идеальной внешнего обзора ресурсов, но оно может сканировать и внутренние приложения, в т.ч. на стадии разработки.

Ограничения DAST

Методы динамического тестирования безопасности приложений могут помочь в поиске уязвимостей, но следует помнить и об их недостатках.

• Сложно разработать полный набор тестов для каждого приложения. Методы DAST могут генерировать ложноположительные результаты, усложняя работ аналитика.
• Инструменты DAST могут только указать на наличие проблемы, но не могут обнаружить недостатки внутри кода. Кроме того, инструменты DAST сосредоточены на запросах и ответах, что может привести к значительному количеству ошибок в архитектурном проекте.
  
• DAST проходит медленно (обычно для тестирования требуются дни или недели. На поздних стадиях жизненного цикла приложения обнаруженные проблемы могут привести к возникновению большого количества задач для команд разработчиков, продлению сроков и увеличению затрат. В определенных ситуациях разработчикам может потребоваться вернуться и повторно ознакомиться со старым кодом, прежде чем вносить необходимые исправления.