Інструменти тестування безпеки: SAST / DAST / IAST / RAPS

Мітки: Security Testing

90% інцидентів безпеки виникають у результаті використання зловмисниками відомих програмних помилок. Усунення вразливостей на етапі розробки програмного забезпечення значно знижує ризики інформаційної безпеки.

Є ціла низка технологій, які дозволяють виявляти недоліки безпеки на ранніх етапах, позбавляючись їх до релізу продукту. Це:

  • SAST
  • DAST
  • IAST
  • RASP

Дізнайся про методи security testing на безоплатному вебінарі Continuous Security testing empowered by SAST / DAST / IAST / RASP

webinar_continuous_security_testing_empowered_by_sast_dast_iast_rasp__1.300x0.jpeg

Про SAST і DAST можна почитати у нашій статті: SAST & DAST: який метод тестування безпеки кращий?

Існує думка, що SAST і DAST – не найкращий вибір для тестування сучасних мобільних та вебдодатків.

Але ще є IAST, який об'єднує ці два підходи та усуває недоліки їх роботи. IAST виконує весь аналіз у режимі реального часу.

IAST (Interactive Application Security Testing) – інтерактивне тестування безпеки програм.

Оскільки IAST працює всередині програми, він може аналізувати:

  • код програми
  • потоки даних
  • конфігурації
  • HTTP-запити та відповіді
  • бібліотеки, фреймворки та інші компоненти
  • інформацію про внутрішнє підключення

Порівняно з SAST і DAST доступ до цієї всієї інформації дозволяє IAST:

  • покривати більше коду
  • видавати більш точні результати
  • перевіряти ширший спектр правил безпеки

RASP (Run-time Application Security Protection) – захист безпеки програм під час виконання.

Переваги методу RASP:

+ працює всередині програми, але це швидше інструмент безпеки, а не тестування.

+ підключається до програми та може контролювати виконання програми.

+ захищає програму, навіть якщо захист периметра мережі порушено, а програми містять вразливість безпеки.

+ дозволяє програмі проводити безперервні перевірки безпеки та відповідати на атаки в реальному часі, завершуючи сеанс зловмисника та попереджаючи захисників про атаку.

Недоліки RASP

- він може створити відчуття помилкової безпеки.

Деякі заходи безпеки можуть ігноруватися через великі очікування та надію лише на RASP.

- можливе погіршення продуктивності додатків.

У всіх технологій є свої плюси та мінуси, але якщо їх комбінувати та використати переваги кожної – можна забезпечити вищий рівень безпеки продукту.

Дізнайся про методи security testing на безоплатному вебінарі Continuous Security testing empowered by SAST / DAST / IAST / RASP

webinar_continuous_security_testing_empowered_by_sast_dast_iast_rasp__1.300x0.jpeg

Курси та події

Публікації

Відео