Запуск автоматического сканирования уязвимостей является лишь частью тестирования безопасности, которое во многих компаниях все еще включает трудоемкую и дорогостоящую ручную работу. Но этому есть альтернатива.
К примеру, клиент Invicti, компания Park ‘N Fly, пользуется преимуществами расширенной автоматизации DAST.
Индустрия: Организация путешествий
Местонахождение: США
Размер компании: 550+ сотрудников
Решение: Invicti Enterprise
Организации, которые начинают работать с новым сканером уязвимостей, часто обнаруживают, что для его запуска и управления нужна отдельная должность на полный рабочий день – дополнительные ресурсы, которые компания может не хотеть или не иметь возможности выделить. Это отличает обычный сканер от полноценного решения для динамического тестирования безопасности приложений (DAST). С развитым инструментом DAST и надлежащей поддержкой поставщиков автоматизация и интеграция могут оптимизировать весь процесс проверки безопасности, как это ощутили на себе клиенты Invicti, в том числе Park ‘N Fly.
Автоматизация дает ресурсы для инноваций
Сканирование уязвимостей является лишь небольшой частью более широкого процесса поддержки безопасности. Сканер может предоставлять несколько сотен результатов тестирования, которые затем нужно вручную проверять, определять их приоритетность и управлять ими, что делает такой инструмент не особо «автоматическим». Это также касается ручной настройки и запуска сканирования. Само тестирование может быть автоматизированным, но кто-то все равно должен выполнять много работы до и после каждой проверки.
Для действительно эффективной автоматизации тестирования нужно автоматизировать каждый отдельный процесс, не требующий участия человека. Также надо убедиться в достоверности данных во избежание увеличения количества ложноположительных результатов. Invicti уделяет много внимания автоматизации, чтобы после начальной настройки решение DAST могло работать более-менее автономно, и нуждаться в участии людей только когда это действительно необходимо.
Благодаря автоматическим тикетам, запуску проверок и подтверждению уязвимостей на основе Proof-based сканирования клиенты без лишней работы получают точные данные об уязвимостях, которые нужно немедленно исправить. Таким образом, команды безопасности освобождают себе сотни часов в год, которые раньше шли на настройку сканирования, проверку результатов, назначение тикетов, отслеживание исправлений и управление самим инструментом. Это позволяет им сосредоточиться на бизнес-инновациях и деятельности, что добавляет ценность компании. Для таких клиентов Invicti, как Park N Fly, ранее имевших дело с непрактичным ручным сканированием, действительно эффективное автоматическое тестирование безопасности может быть настоящим открытием.
“Я называю Invicti “автоматической магией”, потому что это решение действительно экономит время. Оно экономит усилия – неважно, моя команда состоит из 20, 5 или 15 человек. Следует всегда искать способы оптимизации времени своей команды, чтобы они могли сосредоточиться на важных вещах. Вход в систему и выполнение трудоемких задач вручную не входят в этот список. Invicti делает это для нас благодаря автоматизации,” – Кен Ширмахер, CTO и старший директор IТ-отдела в Park ‘N Fly, Inc.
DAST от Invicti – больше, чем просто сканер
Путь, который прошел Park ‘N Fly, весьма распространен среди клиентов Invicti. Он начался с потребности в качественном сканере веб-уязвимостей. Решение Invicti соответствует этому требованию, предоставляя отчеты об уязвимостях с высокой точностью. Кроме того, оно дает возможность ощутить преимущества от автоматизации всех других этапов тестирования.
Park ‘N Fly были удивлены качеством результатов сканирования и убедились, что решение было правильно настроено для проверки всех необходимых сред. Далее они изучили варианты интеграции в рабочий процесс и выбрали out-of-the-box систему отслеживания проблем Jira. Как пользователи Azure DevOps, они были рады узнать, что Invicti также легко вписывается в этот рабочий процесс и постепенно внедряет более глубокую интеграцию. Благодаря этому стало возможно выполнять больше работы при меньших усилиях и трудностях.
Внедрение тестирования безопасности в процесс разработки
Распространенной проблемой безопасности для небольших команд разработчиков является переход от отчета об уязвимости к назначению конкретной задачи в тикете. Не во всех организациях есть специалисты по безопасности, поэтому часто ответственным за сканирование делают недостаточно компетентного в этом человека (в основном руководителя проекта или разработчика).
“Я бы сказал, что Invicti заменяет отдельную должность в нашей команде. У нас были люди, которые сканировали вручную, а затем создавали тикеты в Jira и назначали их разработчикам,” – Кен Ширмахер, CTO и старший директор IТ-отдела в Park ‘N Fly, Inc.
Точный и полностью автоматизированный DAST от Invicti устраняет эти трудности и делает тестирование безопасности обычной частью разработки приложений. Proof-based сканирование предоставляет автоматически подтвержденные отчеты об уязвимости вместе с указаниями для исправления. А интеграция Jira формирует из этих результатов корректные и приоритизированные тикеты. И после включения Invicti в пайплайн Azure DevOps CI/CD сканирование можно запускать автоматически на определенных этапах.
Действительно автоматизированное решение
За относительно короткое время Park ‘N Fly перешел от ручного сканирования к интегрированному рабочему процессу DevSecOps, где решение DAST от Invicti выполняет всю трудоемкую работу, и дает о себе знать только при отправке четких и корректных тикетов разработчикам. Это и есть настоящая автоматизация.
