Звичайні сканери вебвразливостей і повноцінні корпоративні рішення DAST мають багато відмінностей. Спроба використовувати в масштабі підприємства сканери, призначені для ручного тестування на проникнення, – типовий сценарій, який рідко закінчується добре.
Ця стаття розглядає упередження, що стоять за такими рішеннями, і надає рекомендації для вибору відповідного інструменту.
Як упередження впливають на вибір інструмента
Усі професіонали мають свої спеціалізовані інструменти, які вони добре знають та рекомендують. Тому якщо запитати пентестера про хороші сканери вразливостей, він, скоріше за все, порадить той, що застосовує для ручного тестування. І хоча це може бути чудове рішення саме для пентестерів, воно, ймовірно, не підійде для використання в масштабі підприємства, адже не було розроблено для повністю автоматизованих робочих процесів.
Такі фактори, як відомість і доступність, також можуть вплинути на вибір інструмента. Організації, скоріше за все, будуть використовувати те, що вони мають або знають, як-от простий сканер, ніж витрачати час на пошук більш відповідного рішення. Як і в багатьох речах, зручність і ціна можуть переважити більш практичні міркування.
Крім того, широке використання інструментів з відкритим вихідним кодом або інших безкоштовних рішень у спільноті етичних хакерів може наштовхнути на думку, що підприємствам не потрібні комерційні сканери вразливостей. Проте, це може бути правдою лише ручного тестування на проникнення, а от застосування в корпоративних налаштуваннях призведе до великої кількості додаткової роботи. У гіршому випадку використання безкоштовного сканера в масштабі підприємства може призвести до значних витрат. Наприклад, через додаткові перевірки результатів, визначення рівня серйозності недоліків і створення тікетів вручну.
Варто пам’ятати, що тестування на проникнення та вебсканування корпоративного рівня є двома різними підходами. Наприклад, у першому випадку, результати призначені для спеціалістів з безпеки, які мають навички та досвід, щоб відсіяти помилкові спрацювання, виявити найімовірніші недоліки та вручну дослідити першопричину. А з корпоративним сканером звіти про вразливості можуть надходити безпосередньо розробникам, які не мають часу або навичок безпеки для дослідження та перевірки недоліків. Натомість їм потрібна точна технічна інформація та вказівки щодо виправлення.
Must-have у корпоративному DAST
Для автоматизованого використання в масштабі підприємства зазвичай застосовують інструмент динамічного тестування безпеки додатків (DAST), а не про просто будь-який сканер вразливостей. Точний сканер є лише основою для DAST корпоративного рівня з функціями керування, масштабування та автоматизації, необхідних для роботи в автоматизованих робочих процесах розробки.
Декілька можливостей рішення DAST на прикладі Invicti Enterprise особливо важливі в умовах підприємства:
- Точність, достатня для автоматизації. Звіти про вразливості автоматично надсилаються у вигляді тікета розробнику. Invicti застосовує Proof-based сканування, щоб автоматично підтверджувати більшість серйозних вразливостей методом їх безпечного використання. Оскільки експлойти точно не є хибними спрацюваннями, вони можуть надсилатися безпосередньо в тікети системи відстеження проблем.
- Впровадження в робочі процеси розробки. Важливо інтегрувати рішення з системами відстеження проблем, адже надсилання звітів про вразливості електронною поштою або повідомленнями є неефективним і ускладнює комунікацію між командами безпеки та розробників.
- Вказівки щодо виправлення. Розробники мають бути зосереджені в першу чергу на створенні якісного ПЗ, тому тікети повинні містити повну практичну інформацію для виправлення недоліку і запобігання його повторному виникненню.
- Масштабування для частого сканування великої кількості активів. На відміну від одноразового сканування для початку тестування на проникнення або оцінки вразливості, сканування в корпоративних середовищах додатків може відбуватися десятки, а то і сотні разів на день.
- Звітування та видимість у різних середовищах. Щоб отримати максимум від тисяч звітів про вразливості, потрібні функції звітування та керування. Це дозволяє відстежувати загальний стан безпеки та довгострокові тенденції, виявляти проблемні місця та планувати майбутню стратегію.
Різні інструменти для різних цілей
Мова йде не про те, щоб взагалі відмовитися від інструментів для тестування на проникнення, а про вибір відповідного рішення. Пентестери очікують, що сканер вразливостей надасть хороші відправні точки для ручного дослідження результатів у рамках одного тесту. А командам розробників потрібно, щоб звіти про вразливості від DAST показали, які недоліки безпеки потребують усунення. І щоб це було масштабовано, автоматично та без уповільнення темпів розробки.
Це також не про вибір лише чогось одного. Впровадження DAST у програму AppSec забезпечує швидке та ефективне виявлення та виправлення більшості типових вразливостей. А пентестери або етичні хакери можуть шукати складніші проблеми та вразливості бізнес-логіки, не витрачаючи час і гроші компанії на простіші задачі. Завдяки цьому організації отримують безпечні додатки та більшу користь від ручного тестування.
