Эффективное решение в сфере безопасности приложений должно умело решать реальные проблемы. Три больших вызова для AppSec – это отсутствие видимости имеющихся активов, сложность определения их приоритетности и недостаток проактивного подхода в программе безопасности.
Predictive Risk Scoring – это мощный инструмент платформ Invicti (ранее Netsparker) и Acunetix, который помогает справиться с этими трудностями.
Что такое Predictive Risk Scoring?
Predictive Risk Scoring – это проприетарная технология, которая используется в DAST-инструментах Invicti и Acunetix для пассивного анализа веб-сайтов в модуле выявления на предмет внешних признаков рисков для безопасности. Собственная модель машинного обучения исследует более 200 технологических атрибутов сайта и прогнозирует вероятность присутствия серьезных уязвимостей.
Проблема №1: Недостаточная видимость публично доступных сайтов
Большинство руководителей отдела информационной безопасности могут только приблизительно оценить количество приложений и API-интерфейсов организации, которые доступны через Интернет. К факторам риска также относятся старые веб-ресурсы, которые остаются в продакшне. Например, тестовые API-интерфейсы, которые не были удалены, и сайты, созданные под старые проекты. Если отделу неизвестно про все веб-активы компании, то трудно объективно оценить общий уровень безопасности и рисков.
Функция Predictive Risk Scoring в Invicti и Acunetix работает в модуле обнаружения веб-сайтов. После настройки он работает автоматически, показывая публично доступные сайты организации. В свою очередь Predictive Risk Scoring анализирует каждый выявленный актив, ища характерные признаки потенциально уязвимых вебсайтов, и дает соответствующий прогноз их риска. Это улучшает видимость поверхности атаки веб-приложений и дает понимание потенциального уровня их уязвимости еще до начала первого сканирования.
Кроме поиска веб-приложений, в решения Invicti и Acunetix можно добавить функционал для обнаружения API: как известных, так и незадокументированных.
Проблема №2: Сложность определения приоритетности рисков AppSec
Часто инструменты безопасности предоставляют длинный список результатов, на проработку и приоритезацию которых требуется много времени, особенно учитывая ложноположительные находки. И кроме этого, определение приоритетности активов для исправления может быть вызовом в условиях ограниченности ресурсов.
Predictive Risk Scoring помогает в приоритезации сайтов еще до сканирования, обозначая уровень их возможного риска в модуле обнаружения. Это позволяет начинать тестирование безопасности с потенциально наиболее уязвимых веб-приложений. Такой подход к AppSec дает возможность максимально уменьшать риски, учитывая свои имеющиеся ресурсы.
Если это технически возможно, после сканирования решения Invicti и Acunetix предоставляют доказательства существования уязвимостей (например, информация, которая не должна быть доступна извне), что позволяет быть уверенными в их наличии и не тратить лишние ручные усилия на повторные проверки.
Проблема №3: Нехватка проактивного контроля состояния безопасности
Многие организации узнают о слабых местах только после внешних тестов или даже уже после эксплуатации уязвимости, что приводит к утечке данных. В идеальном мире каждое веб-приложение и API должны переходить в продакшн только после тестирования безопасности, и каждый веб-ресурс должен отслеживаться в централизованном инвентаре. Но реальность часто менее контролируема, поэтому важно регулярно проверять свои веб-активы, предотвращая инциденты благодаря проактивному подходу, вместо того чтобы использовать исключительно реактивную стратегию.
Predictive Risk Scoring предоставляет первый прогноз потенциального состояния безопасности выявленного веб-сайта еще до проведения тестирования. Уровень риска обновляется автоматически, обеспечивая фоновую проверку, не требующую ручного вмешательства. Вместе с интеграцией решения в SDLC и запланированным регулярным сканированием это позволяет минимизировать риски безопасности до того, как они станут серьезной угрозой.
Бонусная проблема: Поиск возможности применения ИИ для улучшения безопасности
В последние годы искусственный интеллект активно помогает компаниям повышать свою эффективность. Вопрос его использования становится актуальным практически в каждом отделе, и AppSec не является исключением.
Важно выбрать качественный инструмент. Хотя LLM и другие генеративные инструменты ИИ распространены и доступны, анализ на основе больших наборов данных – это работа машинного обучения (ML), которое является более зрелой и надежной отраслью искусственного интеллекта.
Predictive Risk Scoring использует специально созданную модель машинного обучения от Invicti. Она обучена на большом массиве данных, что позволяет ей быстро анализировать то, что проверил бы опытный пентестер перед началом тестирования. Это и является разумным использованием искусственного интеллекта в AppSec.
