Ефективне рішення у сфері безпеки додатків має вправно розв’язувати реальні проблеми. Три великі виклики для AppSec – це відсутність видимості наявних активів, невизначеність щодо їх пріоритетності та нестача проактивного підходу в програмі безпеки.
Predictive Risk Scoring – це потужний інструмент платформ Invicti (раніше Netsparker) та Acunetix, що допомагає впоратися з цими труднощами.
Що таке Predictive Risk Scoring?
Predictive Risk Scoring – це пропрієтарна технологія, яка використовується в DAST-інструментах Invicti та Acunetix для пасивного аналізу вебсайтів у модулі виявлення на предмет зовнішніх ознак ризиків безпеки. Власна модель машинного навчання досліджує понад 200 технологічних атрибутів сайту та прогнозує ймовірність наявності серйозних вразливостей.
Проблема №1: Недостатня видимість щодо публічно доступних сайтів
Більшість керівників відділу інформаційної безпеки можуть лише приблизно оцінити кількість додатків та API-інтерфейсів організації, які доступні через Інтернет. До факторів ризику також належать старі вебресурси, що залишаються у продакшні. Наприклад, тестові API-інтерфейси, які не були видалені, та сайти, що були створені під старі проєкти. Якщо відділу невідомо про всі вебактиви компанії, то важко об’єктивно оцінити загальний рівень безпеки та ризиків.
Функція Predictive Risk Scoring в Invicti та Acunetix працює в модулі виявлення вебсайтів. Після налаштування він працює автоматично, показуючи публічно доступні сайти організації. Своєю чергою Predictive Risk Scoring аналізує кожен виявлений актив, шукаючи характерні ознаки потенційно вразливих вебсайтів, та надає відповідний прогноз їх ризику. Це покращує видимість поверхні атаки вебдодатків та дає розуміння про потенційний рівень їх вразливості ще до початку першого сканування.
Окрім пошуку вебдодатків, в рішення Invicti та Acunetix можна додати функціонал для виявлення API: як відомих, так і незадокументованих.
Проблема №2: Складність визначення пріоритетності AppSec ризиків
Часто інструменти безпеки надають довгий список результатів, на опрацювання і пріоритезацію яких потрібно багато часу, особливо враховуючи хибнопозитивні знахідки. І навіть поза цим, визначення пріоритетності активів для виправлення може бути викликом, що посилюється в умовах обмеженості ресурсів.
Predictive Risk Scoring допомагає у пріоритезації сайтів ще до сканування, позначаючи рівень їх імовірної ризиковості у модулі виявлення. Це дозволяє починати тестування безпеки з потенційно найбільш вразливих вебдодатків. Такий підхід до AppSec дає можливість якнайбільше зменшувати ризик, враховуючи свої наявні ресурси.
Коли це технічно можливо, після сканування рішення Invicti та Acunetix надають докази існування вразливостей (наприклад, інформація, яка не має бути доступна ззовні), що дозволяє бути впевненими у їх наявності та не витрачати зайві ручні зусилля на повторні перевірки.
Проблема №3: Нестача проактивного контролю стану безпеки
Багато організацій дізнаються про слабкі місця лише після зовнішніх тестів або навіть вже після експлуатації вразливості, що призводить до витоку даних. В ідеальному світі кожен вебдодаток і API мали б переходити в продакшн лише після тестування безпеки, і кожен вебресурс мав би відстежуватися в централізованому інвентарі. Але реальність часто менш контрольована, тому важливо регулярно перевіряти власні вебактиви, запобігаючи інцидентам завдяки проактивному підходу, замість того, щоб використовувати суто реактивну стратегію.
Predictive Risk Scoring надає перший прогноз потенційного стану безпеки знайденого вебсайту ще до проведення тестування. Рівень ризику оновлюється автоматично, забезпечуючи фонову перевірку, що не потребує ручного втручання. Разом з інтеграцією рішення в SDLC і запланованим повторюваним скануванням це дозволяє мінімізувати ризики безпеки до того, як вони стануть серйозною загрозою.
Бонусна проблема: Пошук можливості застосування ШІ для покращення безпеки
В останні роки штучний інтелект активно допомагає компаніям збільшувати свою ефективність. Питання щодо його використання стає актуальним практично у кожному відділі, і AppSec не є винятком.
Важливо обрати якісний інструмент. Хоча LLM та інші генеративні інструменти ШІ є поширеними та доступними, аналіз на основі великих наборів даних – це робота машинного навчання (ML), яке є більш зрілою та надійною галуззю штучного інтелекту.
Predictive Risk Scoring використовує спеціально створену модель машинного навчання від Invicti. Вона навчена на великому масиві даних, що дозволяє їй швидко аналізувати те, що перевірив би досвідчений пентестер перед початком тестування. Це і є розумним використанням штучного інтелекту в AppSec.
