Главная Безопасность Invicti (ранее Acunetix и Netsparker)

Платформа безопасности веб-приложений и API

Invicti (ранее Acunetix и Netsparker)

Invicti – это платформа на основе DAST для автоматизированного тестирования безопасности веб-приложений и API, которая легко масштабируется по потребности бизнеса.

Продукт объединяет опыт решений Invicti, Netsparker и Acunetix, за многие годы зарекомендовавших себя для организаций из разных отраслей, включая лидеров из списка Fortune 500.

invicti_logo_Purple

Запрос на бесплатное тестирование Invicti

Оставьте контакты и мы с вами свяжемся

K

страниц сканируется ежедневно

К

уязвимостей
выявляются ежедневно

+

уязвимостей в среднем выявляются на каждом сайте

%

просканированных веб-сайтов имеют критические проблемы

Клиенты Invicti

vodafone-gray 300x134
US-Department-of-Energy-gray300x134
nato-gray 300x134
Intel-gray 300x134
Cisco-gray 300x134
visa gray

Платформа Invicti

invicti_security_automation

Автоматизация веб-безопасности

  • Метод DAST обладает мощным двигателем, который позволяет обнаружить максимальное количество уязвимостей, начиная с обычных и заканчивая слепыми, которые не могут найти обычные техники сканирования.

  • Invicti поддерживает аутентифицированное сканирование основных типов API: REST, SOAP, GraphQL.

  • Решение автоматически сканирует все типы устаревших и современных веб-приложений и позволяет настроить разные виды аутентификации, от простого логина и пароля до входа с помощью Электронной Цифровой Подписи.

  • Благодаря технологии Proof-Based сканирования Invicti подтверждает существование 94% наиболее серьезных уязвимостей, безопасно эксплуатируя недостатки и генерируя доказательство их использования, что значительно уменьшает ручные усилия для повторных проверок.

Полная видимость

  • Invicti предоставляет комплексную видимость благодаря детальным дешбордам и интеграции с Mend.io, что позволяет отслеживать безопасность веб-приложений с помощью методов DAST, IAST, SAST, SCA и безопасности контейнеров.

  • Доступны разные интеграции, к примеру, с тикетными системами, как Jira, а также с инструментами CI/CD, например, от GitHub, GitLab, Jenkins и так далее.

  • Invicti предоставляет широкий перечень отчетов, в том числе для соответствия, например PCI DSS, ISO 27001, NIST SP 800-53, OWASP Top 10.

  • Служба обнаружения активов постоянно проверяет публичные источники для поиска веб-сайтов, которыми владеет компания (на основе доменов первого и второго уровня, IP-адресов и названия организации), а также с помощью машинного обучения автоматически присваивает им уровень потенциального риска еще до первого сканирования.
scan-report-summary
scalability-invicti

Масштабирование по мере роста

  • Решение использует легко масштабируемые агенты сканирования, что предоставляет возможность одновременно тестировать большое количество веб-ресурсов.

  • Платформа позволяет планировать регулярные сканирования: как полные, так и инкрементные (частичные), которые проверяют только новые, исправленные или измененные части веб-приложения, оптимизируя процесс обнаружения уязвимостей.

  • Invicti применяет ИИ на основе машинного обучения для улучшения сканирования, а также предоставляет возможность сканировать LLM, найденные в веб-приложениях.

  • Исчерпывающая информация об уязвимостях и рекомендации по их устранению позволяют качественно и быстро решать проблемы безопасности.

Продвинутые возможности ИИ

  • Сканирование с использованием ИИ для улучшения сбора структуры веб-сайта и автоматического заполнения форм.

  • Возможность проводить тестирование безопасности LLM в веб-сайте, что позволяет найти такие уязвимости, как инъекция промпта.

  • Ассистент на основе ИИ может давать полезные рекомендации, благодаря чему команды могут ускорять рабочие процессы и узнавать больше об уязвимостях.

  • Predictive Risk Scoring на основе машинного обучения в обнаружении веб-сайтов позволяет автоматически спрогнозировать уровень риска найденного веб-ресурса, что помогает в приоритизации.

  • Эти функции можно отключить при необходимости, и они преимущественно присутствуют только в облаке.
ai-invicti_security
sca_mend_invicti

Бесшовная интеграция с SAST, SCA, безопасностью контейнеров

  • Invicti DAST имеет готовую интеграцию с Mend.io, конкретно с модулями:
    SAST (Static Application Security Testing, статическое тестирование безопасности приложений): поиск уязвимостей напрямую в коде.
    SCA (Software Composition Analysis, анализ программных компонентов): обнаружение уязвимых и устаревших библиотек, проверка лицензирования.
    Безопасность контейнеров: сканирование контейнеров на уязвимости.

  • Это позволяет централизовать все находки, удобно управлять уязвимостями в одном интерфейсе и коррелировать результаты DAST и SAST для лучшего понимания рисков в приложениях.

В платформу может быть добавлен add-on для обнаружения API – API Security. Он позволяет находить незадокументированные и потерянные API, а также синхронизировать последние версии дефиниций с помощью интеграции с системами их управления.

Invicti Security также имеет продукт класса управления состоянием безопасности приложений (Application Security Posture Management, ASPM) – Invicti ASPM. Он позволяет командам централизовать все сканирования и уязвимости различных сканеров безопасности в одном инструменте.

FAQ

Как работает DAST (black-box тестирование) в Invicti?

Динамическое тестирование безопасности приложений (DAST) заключается в безопасной имитации действий хакеров, благодаря чему выявляет уязвимости веб-ресурсов.

Что такое IAST (gray-box тестирование) в Invicti?

IAST – это дополнительный компонент, расширяющий функционал динамического тестирования безопасности приложений (DAST). Агент на веб-сервере анализирует исполняемый код, улучшая охват веб-сайта во время тестирования, что помогает находить больше уязвимостей.
Кроме того, когда технически возможно, IAST предоставляет номер строки кода в конкретном файле, который необходимо исправить. Это позволяет быстрее устранять недостатки, что особенно важно в случае критических уязвимостей.

Подтверждает ли Invicti найденные уязвимости?

Решение подтверждает 94% серьезных уязвимостей. В основном это происходит посредством доказательств их эксплуатации.

Способно ли решение тестировать API?

Да, платформа поддерживает тестирование REST, SOAP, GraphQL и gRPC API.

Возможна ли интеграция с тикетными системами и CI/CD?

Да, доступно большое количество интеграций, включая Jira, Jenkins, GitLab, GitHub, Azure.

Предоставляет ли решение отчеты?

Да, платформа предоставляет возможность генерирования детальных отчетов в различных форматах (HTML, PDF), в том числе на соответствие стандартам, например PCI DSS, ISO 27001 и OWASP Top 10, также можно выполнить экспорт уязвимостей в XML и так далее.

Как работает интеграция с Mend.io?

Платформа позволяет получать результаты сканирования от Mend.io и иметь централизованную видимость находок с DAST, IAST, SAST, SCA, безопасности контейнеров в одной консоли.

Какие есть варианты развертывания?

Решение поддерживает локальное, облачное и гибридное развертывание.

Можно ли бесплатно протестировать решение?

Да, может быть предоставлена бесплатная временная лицензия для тестирования. Для этого свяжитесь с нами удобным для вас способом.

Invicti | Пресс-центр

    Оставьте свои контакты, и мы с вами свяжемся