Під час використання сканерів вебвразливостей іноді трапляється так, що програма повідомляє про існування вразливості або помилки якої не існує.
Фахівці з безпеки та розробки зобов’язані перевірити кожен «сигнал тривоги», тому в разі знаходження хибнопозитивного результату команда буде вимушена витрачати свій дорогоцінний час, щоб спростувати наявність недоліків в системі безпеки.
Помилкові спрацювання сканерів вебвразливостей призводять до значних втрат щороку, тому дуже важливо використовувати ті інструменти та методології веббезпеки, які дозволяють звести їх до мінімуму.
IAST – що це?
IAST (Interactive Application Security Testing) – метод або інструмент «gray-box» тестування що взаємодіє з вебінтерфейсом програмного забезпечення та дозволяє спостерігати за виконанням запитів зсередини.
Методологія IAST призначена для тестування фреймворків вебдодатків та API. Вона аналізує код що виконується і дозволяє в рази збільшити точність результатів сканування та зменшити кількість хибних спрацювань.
Технологія інтерактивного тестування у вебсканерах поєднується з динамічним методом тестування (DAST) і дозволяє сканувати ті частини вебдодатку, які знаходяться поза зоною досяжності останньої. Застосування компонента для інтерактивного тестування в таких рішеннях дає можливість отримати всю необхідну інформацію про вразливість, зокрема її точне місце розташування та інші додаткові деталі.
Black-box scanning
Gray-box scanning
White-box scanning
Рішення WAS з вбудованим інструментом IAST
В контексті рішень для пошуку вебвразливостей IAST було вперше запропоновано компанією Acunetix у 2008 році. У 2021 WAS з використанням IAST було масштабовано до корпоративного рівня в рішеннях Netsparker Enterprise (зараз Invicti Enterprise). Обидва рішення наразі належать американській корпорації Invicti Security.
В обох продуктових лінійках компонент для інтерактивного тестування реалізовано як окремий агент, який необхідно встановити на сервер: AcuMonitor в рішеннях Acunetix та Shark – в рішеннях Invicti (колишній Netsparker).
Які переваги застосування інтерактивного сканування?
Агент IAST в рішеннях для сканування вразливостей від Invicti, має доступ до:
- Інтерпретатору коду або компілятору (залежно від мови програмування)
- Контролю часу виконання та інформації про потік даних
- Інформації про конфігурацію, завдяки чому інструмент здатен також виконувати аналіз складу програмного забезпечення (SCA).
Як IAST дозволяє прискорити процес тестування вебвразливостей в 17 разів
Ми підготували розрахунки, щоб показати економію, яку можна досягти за допомогою використання цього методу тестування вразливостей на прикладі реалістичного корпоративного сценарію.
За даними Invicti, в середньому на один вебресурс (FQDN) перепадає 20 вразливостей на рік.
Припустимо, що підприємству належить 100 ресурсів (враховуємо вебдодатки, API та інші вебресурси без графічного інтерфейсу).
В такому випадку команда безпеки матиме справу з 2000 вебвразливостями на рік. З них, за статистикою, 40% будуть нести пряму загрозу для системи – тобто 800 вразливостей.
В середньому, досвідченому інженеру безпеки необхідно одна година, щоб протестувати та підтвердити існування однієї вразливості.
Тобто, команда безпеки витрачатиме близько 800 годин на рік, щоб тільки протестувати вразливості й це не враховуючи час на їх виявлення та виправлення.
В той самий час, технологія Proof-based Scanning на основі IAST в сканерах Invicti автоматично підтверджує існування 94% вразливостей прямого впливу. Це означає, що фахівцям необхідно буде перевірити лише 6% таких вразливостей, що у кінцевому підсумку потребуватиме лише 48 годин замість 800.
Таким чином, IAST дає змогу скоротити середній час на виправлення вразливостей, що сприятиме вагомому покращенню показників системи безпеки.
Висновки
Поєднання технологій динамічного та інтерактивного тестування (DAST+IAST) дозволяє домогтися максимального покриття під час тестування вебресурсів.
Сканери вебвразливостей Invicti мають вбудований інструмент IAST – Invicti Shark, а також унікальну технологію підтвердження вразливостей Proof-based Scanning, що дозволяють генерувати результати з точністю до 99,98% – менше ніж 2 помилкових спрацьовувань на 10 000 підтверджених вразливостей.
Порівняно з традиційним процесом, який значною мірою залежить від особистої координації інженерами безпеки команди веброзробки, інтеграція рішень Invicti дозволяє скоротити час на тестування знайдених вразливостей у 17 разів та зосередитися на ключових процесах безпеки.
А якщо ви дочитали до кінця – долучайтеся до розіграшу брендованої колонки Invicti!
Для цього потрібно пройти невеличкий опитувальник та дочекатись результатів.
Умови розіграшу:
- Розіграш діє по всій території України, окрім тимчасово окупованих територій.
- Відправка подарунка буде здійснена коштом компанії CoreWin. Відправка можлива лише по Україні.
- Переможця буде обрано за допомогою рандомайзера, серед тих, хто надав правильні відповіді.
- Обов’язково вказувати актуальні контактні дані, щоб ми могли з вами зв’язатися.
- Термін проведення розіграшу 13.04.2023-13.06.2023. Результати будуть опубліковані 14.06.2023 у наших соц.мережах.
