Сканеры веб-уязвимостей и полноценные корпоративные решения DAST имеют много отличий. Попытка использовать в масштабе предприятия сканеры, предназначенные для ручного тестирования на проникновение, – типичный сценарий, который редко заканчивается хорошо.
Эта статья рассматривает предубеждения, стоящие за такими решениями, и предоставляет рекомендации для выбора соответствующего инструмента.
Как предубеждения влияют на выбор инструмента
У всех профессионалов есть свои специализированные инструменты, которые они хорошо знают и рекомендуют. Поэтому если спросить пентестера про хорошие сканеры уязвимостей, он, скорее всего, посоветует тот, который применяет для ручного тестирования. И хоть это может быть замечательное решение именно для пентестеров, оно, вероятно, не подойдет для использования в масштабе предприятия, ведь не разработано для полностью автоматизированных рабочих процессов.
Такие факторы, как известность и доступность, также могут повлиять на выбор инструмента. Организации, скорее всего, будут использовать то, что они имеют или знают, например простой сканер, чем тратить время на поиск более подходящего решения. Как и во многих вещах, удобство и цена могут перевесить более практичные соображения.
Кроме того, широкое использование инструментов с открытым исходным кодом или других бесплатных решений в сообществе этических хакеров может натолкнуть на мысль, что предприятиям не нужны коммерческие сканеры уязвимостей. Однако это может быть правдой только ручного тестирования на проникновение, а вот применение в корпоративных настройках приведет к большому количеству дополнительной работы. В худшем случае использование бесплатного сканера в масштабе предприятия может привести к значительным тратам, например из-за дополнительных проверок результатов, определения уровня серьезности недостатков и создания тикетов вручную.
Следует помнить, что тестирование на проникновение и веб-сканирование корпоративного уровня являются двумя разными подходами. Например, в первом случае результаты предназначены для специалистов в сфере безопасности, имеющих навыки и опыт, чтобы отсеять ложные срабатывания, выявить настоящие недостатки и вручную исследовать первопричину. А с корпоративным сканером отчеты об уязвимости могут предоставляться непосредственно разработчикам, у которых нет времени или навыков безопасности для исследования и проверки недостатков. Им нужна точная техническая информация и указания для исправления.
Must-have в корпоративном DAST
Для автоматизированного использования в масштабе предприятия обычно применяют инструмент динамического тестирования безопасности приложений (DAST), а не просто любой сканер уязвимостей. Точный сканер является основой для DAST корпоративного уровня с функциями управления, масштабирования и автоматизации, необходимыми для работы в автоматизированных рабочих процессах разработки.
Ряд возможностей решения DAST на примере Invicti Enterprise особенно важны для предприятий:
- Точность, достаточная для автоматизации. Отчет об уязвимости автоматически присылается в виде тикета разработчику. Invicti применяет Proof-based сканирование, чтобы автоматически подтверждать большинство серьезных уязвимостей методом их безопасного использования. Поскольку эксплойты точно не являются ложными срабатываниями, они могут направляться непосредственно в тикеты системы отслеживания проблем.
- Внедрение в рабочие процессы разработки. Важно интегрировать решения с системами отслеживания проблем, ведь отправка отчетов об уязвимостях по электронной почте или сообщением неэффективна и затрудняет коммуникацию между командами безопасности и разработчиков.
- Указания для исправления. Разработчики сосредоточены в первую очередь на создании качественного ПО, поэтому тикеты должны содержать полную практическую информацию для исправления недостатка и предотвращения его повторного возникновения.
- Масштабирование для частого сканирования большого количества активов. В отличие от разового сканирования для начала тестирования на проникновение или оценки уязвимости, сканирование в корпоративных средах приложений может происходить десятки, а то и сотни раз в день.
- Отчеты и видимость в разных средах. Чтобы получить максимум от тысяч отчетов об уязвимостях, необходимы функции отчетности и управления. Они позволяют отслеживать общее состояние безопасности и долгосрочных тенденций, выявлять проблемные места и планировать будущую стратегию.
Разные инструменты для разных целей
Речь не о том, чтобы отказаться от каких-либо инструментов для тестирования на проникновение, а о выборе подходящего для задачи решения. Пентестеры ожидают, что сканер уязвимостей предоставит хорошие отправные точки для ручного исследования результатов в рамках одного теста. А командам разработчиков нужно, чтобы отчеты об уязвимости от DAST показали, какие недостатки безопасности нуждаются в устранении. И чтобы это все происходило масштабируемо, автоматически и без замедления темпов разработки.
Это также не о выборе только чего-то одного. Внедрение DAST в AppSec обеспечивает быстрое и эффективное обнаружение и исправление большинства типичных уязвимостей. А пентестеры или этические хакеры могут искать более сложные проблемы и уязвимости бизнес-логики, не тратя время и средства компании на более простые задачи. Благодаря этому организации получают безопасные приложения и большую пользу от ручного тестирования.
