Платформа безпеки вебдодатків і API

Invicti (раніше Acunetix та Netsparker)

Invicti – це платформа на основі DAST для автоматизованого тестування безпеки вебдодатків і API, що легко масштабується під потреби бізнесу.

Продукт поєднує досвід рішень Invicti, Netsparker та Acunetix, що за багато років зарекомендували себе для організацій з різних галузей, в тому числі лідерів зі списку Fortune 500.

K

сторінок сканується щодня

К

вразливостей
виявляються щодня

+

вразливостей в середньому виявляються на кожному сайті

%

просканованих вебсайтів мають критичні проблеми

Клієнти Invicti

Платформа Invicti

Автоматизація веббезпеки

Метод DAST має потужний двигун, що дає можливість виявити максимальну кількість вразливостей, починаючи зі звичайних і закінчуючи сліпими, які не можуть знайти звичайні техніки сканування.

Invicti підтримує автентифіковане сканування основних типів API: REST, SOAP, GraphQL.

Рішення автоматично сканує всі типи застарілих і сучасних вебдодатків і дозволяє налаштувати різні види автентифікації, від простого логіну та паролю до входу за допомогою ЕЦП.

Завдяки технології Proof-Based сканування Invicti підтверджує існування 94% найбільш серйозних вразливостей, безпечно експлуатуючи недоліки та генеруючи доказ їх використання, що значно зменшує ручні зусилля для повторних перевірок.

Повна видимість

Invicti надає комплексну видимість завдяки детальним дешбордам та інтеграції з Mend.io, що дозволяє відстежувати безпеку вебдодатків за допомогою методів DAST, IAST, SAST, SCA і безпеки контейнерів.

Доступні різні інтеграції, до прикладу, з тікетними системами, як-от Jira, а також з інструментами CI/CD, наприклад, від GitHub, GitLab, Jenkins тощо.

Invicti надає широкий перелік звітів, у тому числі на відповідність, наприклад, PCI DSS, ISO 27001, NIST SP 800-53, OWASP Top 10.

Служба виявлення активів постійно перевіряє публічні джерела для пошуку вебсайтів, якими може володіти компанія (на основі доменів першого та другого рівня, IP-адрес та назви організації), а також за допомогою машинного навчання автоматично присвоює їм рівень потенційного ризику ще до першого сканування.

Масштабування в міру зростання

Рішення використовує легко масштабовані агенти сканування, що дає можливість одночасно тестувати велику кількість вебресурсів.

Платформа дозволяє планувати регулярні сканування: як повні, так й інкрементні (часткові), які перевіряють лише нові, виправлені або змінені частини вебдодатка, оптимізуючи процес виявлення вразливостей.

Invicti застосовує ШІ на основі машинного навчання для покращення сканування, а також дає можливість сканувати LLM, знайдені у вебдодатках.

Вичерпна інформація про вразливість та рекомендації для їх усунення дозволяють якісно та швидко розв’язувати проблеми безпеки.

Просунуті можливості ШІ

Сканування з використанням ШІ для покращення збору структури вебсайту та автоматичного заповнення форм.

Можливість проводити тестування безпеки LLM у вебсайті, що дозволяє знайти вразливості, як-от ін’єкція промпта.

Асистент на основі штучного інтелекту може надавати корисні рекомендації, завдяки чому команди мають змогу пришвидшувати робочі процеси та дізнаватися більше про вразливості.

Predictive Risk Scoring на основі машинного навчання у виявленні вебсайтів дозволяє автоматично спрогнозувати рівень ризику знайденого вебресурсу, що допомагає у пріоритезації.

Ці функції можна вимкнути за потреби, вони переважно доступні тільки в хмарі.

Безшовна інтеграція з SAST, SCA, безпекою контейнерів

Invicti DAST має готову інтеграцію з Mend.io, конкретно з модулями:
– SAST (Static Application Security Testing, статичне тестування безпеки додатків): пошук вразливостей напряму в коді.
– SCA (Software Composition Analysis, аналіз програмних компонентів): виявлення вразливих та застарілих бібліотек, перевірка ліцензування.
– Безпека контейнерів: сканування контейнерів на вразливості.

Це дозволяє централізувати всі знахідки, зручно керувати вразливостями з одного інтерфейсу та корелювати результати DAST і SAST для кращого розуміння ризиків у додатках.

У платформу може бути доданий add-on для виявлення API – API Security. Він дозволяє знаходити незадокументовані та загублені API, а також синхронізувати останні версії дефініцій за допомогою інтеграції з системами їх управління.

Invicti Security також має продукт класу управління станом безпеки додатків (Application Security Posture Management, ASPM) – Invicti ASPM. Він дозволяє командам централізувати всі сканування та вразливості з різних сканерів безпеки в одному інструменті.

FAQ

Як працює DAST (black-box тестування) в Invicti?

Динамічне тестування безпеки додатків (DAST) полягає в безпечній імітації дій хакерів, завдяки чому виявляє вразливості вебресурсів.

Що таке IAST (gray-box тестування) в Invicti?

IAST – це додатковий компонент, який розширює функціонал динамічного тестування безпеки додатків (DAST). Агент на вебсервері аналізує виконуваний код, покращуючи охоплення вебсайту під час тестування, що допомагає знаходити більше вразливостей.
Крім того, коли технічно можливо, IAST надає номер рядку коду в конкретному файлі, який потрібно виправити. Це дозволяє швидше усувати недоліки, що особливо важливо у випадку з критичними вразливостями.

Чи підтверджує Invicti знайдені вразливості?

Рішення підтверджує 94% серйозних вразливостей. Здебільшого це відбувається за допомогою доказів їх експлуатації.

Чи здатне рішення тестувати API?

Так, платформа підтримує тестування REST, SOAP, GraphQL і gRPC API.

Чи можлива інтеграція з тікетними системами та CI/CD?

Так, доступна велика кількість інтеграцій, включно з Jira, Jenkins, GitLab, GitHub, Azure.

Чи надає рішення звіти?

Так, платформа надає можливість генерування детальних звітів у різних форматах (HTML, PDF), у тому числі на відповідність стандартам, як-от PCI DSS, ISO 27001 та OWASP Top 10, також можна виконати експорт вразливостей в XML тощо.

Як працює інтеграція з Mend.io?

Платформа дозволяє отримувати результати сканування від Mend.io та мати централізовану видимість знахідок з DAST, IAST, SAST, SCA, безпеки контейнерів в одній консолі.

Які є варіанти розгортання?

Рішення підтримує локальне, хмарне та гібридне розгортання.

Чи можна безкоштовно протестувати рішення?

Так, може бути надана безкоштовна тимчасова ліцензія для тестування. Для цього зв’яжіться з нами зручним для вас способом.

Invicti | Пресцентр

Invicti | YouTube

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.