Запуск автоматичного сканування вразливостей є лише частиною тестування безпеки, яке в багатьох компаніях все ще включає трудомістку і дорогу ручну роботу. Але цьому є альтернатива.
Приміром, клієнт Invicti, компанія Park ‘N Fly, користується перевагами розширеної автоматизації DAST.
Індустрія: Організація подорожей
Місцезнаходження: США
Розмір компанії: 550+ співробітників
Рішення: Invicti Enterprise
Організації, які починають працювати з новим сканером вразливостей, часто виявляють, що для його запуску та керування потрібна окрема посада на повний робочий день – додаткові ресурси, які компанія може не хотіти або не бути в змозі виділити. Це відрізняє звичайний сканер від повноцінного рішення для динамічного тестування безпеки додатків (DAST). З розвиненим інструментом DAST і належною підтримкою постачальників автоматизація та інтеграція можуть оптимізувати весь процес перевірки безпеки, як це на собі відчули клієнти Invicti, в тому числі Park ‘N Fly.
Автоматизація надає ресурси для інновацій
Сканування вразливостей є лише невеликою частиною ширшого процесу підтримки безпеки. Сканер може надавати кілька сотень результатів тестування, які потім потрібно вручну перевіряти, визначати їх пріоритетність і керувати ними, що робить такий інструмент не дуже «автоматичним». Це також стосується ручного налаштування та запуску сканувань. Саме тестування може бути автоматизованим, але хтось все одно має виконувати багато роботи до та після кожної перевірки.
Для справді ефективної автоматизації тестування потрібно автоматизувати кожний окремий процес, що не вимагає участі людини. Також треба переконатися в достовірності даних для уникнення збільшення кількості хибнопозитивних результатів. Invicti приділяє багато уваги автоматизації, аби після початкового налаштування рішення DAST могло працювати більш-менш автономно, та потребувати участі людей лише коли це дійсно необхідно.
Завдяки автоматичним тікетам, запуску перевірок і підтвердженням вразливостей на основі Proof-based сканування клієнти без зайвої роботи отримують точні дані про вразливості, які потрібно негайно виправити. Таким чином команди безпеки звільняють сотні годин на рік, які раніше витрачалися на налаштування сканування, перевірку результатів, призначення тікетів, відстеження виправлень і керування самим інструментом. Це дозволяє їм зосередитися на бізнес-інноваціях і діяльності, що додає цінність компанії. Для таких клієнтів Invicti, як Park ‘N Fly, що раніше мали справу з непрактичним ручним скануванням, дійсно ефективне автоматичне тестування безпеки може бути справжнім відкриттям.
“Я називаю Invicti «автоматичною магією», тому що це рішення дійсно економить час. Воно заощаджує зусилля – не має значення, моя команда складається з 20, 5 чи 15 людей. Варто завжди шукати способи оптимізації часу своєї команди, аби вони могли зосередитися на важливих речах. Вхід у систему та виконання трудомістких завдань вручну не входять у цей перелік. Invicti робить це за нас завдяки автоматизації,” – Кен Ширмахер, CTO і Старший директор ІТ-відділу в Park ‘N Fly, Inc.
DAST від Invicti – більше, ніж просто сканер
Шлях, який пройшов Park ‘N Fly, є поширеним серед клієнтів Invicti. Він почався з потреби у якісному сканері вебвразливостей. Рішення Invicti відповідає цій вимозі, надаючи звіти про вразливості з високою точністю. Крім того, воно дає можливість відчути переваги від автоматизації всіх інших етапів процесу тестування.
Park ‘N Fly були вражені якістю результатів сканування та запевнилися, що рішення було правильно налаштовано для перевірки всіх необхідних середовищ. Далі вони дослідили варіанти інтеграції в робочий процес і обрали out-of-the-box систему відстеження проблем Jira. Як користувачі Azure DevOps вони були раді дізнатися, що Invicti також легко вписується в цей робочий процес і поступово впроваджує глибшу інтеграцію. Завдяки цьому стало можливо виконати більше роботи за менших зусиль і труднощів.
Впровадження тестування безпеки в процес розробки
Поширеною проблемою безпеки для невеликих команд розробників є перехід від звіту про вразливість до призначення конкретного завдання в тікеті. Не всі організації мають спеціалістів із безпеки, тому часто відповідальною за сканування можуть зробити недостатньо компетентну в цьому людину (здебільшого керівника проєкту чи розробника).
“Я б сказав, що Invicti заміняє окрему посаду у нашій команді. У нас були люди, які сканували вручну, а потім створювали тікети в Jira і призначали їх розробникам,” – Кен Ширмахер, CTO і Старший директор ІТ-відділу в Park ‘N Fly, Inc.
Точний і повністю автоматизований DAST від Invicti усуває ці труднощі та робить тестування безпеки звичайною частиною розробки додатків. Proof-based сканування надає автоматично підтверджені звіти про вразливості разом із вказівками щодо виправлення. А інтеграція Jira формує з цих результатів коректні та пріоритезовані тікети. І після включення Invicti в пайплайн Azure DevOps CI/CD сканування можна запускати автоматично на визначених етапах.
Дійсно автоматизоване рішення
За відносно короткий час Park ‘N Fly перейшов від ручного сканування до інтегрованого робочого процесу DevSecOps, де рішення DAST від Invicti виконує всю трудомістку роботу і турбує лише тоді, коли надсилає розробникам чіткі та коректні тікети. Це і є справжньою автоматизацією.
