Dinamik Uygulama Güvenlik Testi (DAST) söz konusu olduğunda, bir araç olarak DAST’a karşı bir metodoloji söz konusu olduğunda genellikle anlayış eksikliği vardır. Birbirleriyle nasıl ilişki kurarlar ve nasıl farklılık gösterirler? Saldırı Yüzey Yönetimi (ASM) ile nasıl ilişkilidir? APPSEC ekipleri her ikisinden de nasıl yararlanabilir?
Aşağıda, hem bir metodoloji olarak hem de bir araç olarak DASS’ın tespitte yaptığımız şeyle nasıl ilişkili olduğuna bir göz atacağız. Daha spesifik olarak, tespit çözümünün DAST metodolojisini bir saldırı yüzeyinin tam genişliğine nasıl uyguladığını ve uygulama güvenlik testinin dışını otomatikleştirdiğini açıklayacağız. Bu yöntemlerle, kahvaltı yapmadan önce milyonlarca alanı ele alıyoruz.
Manuel ve otomatik güvenlik testi arasındaki farklılıklar
Dinamik Uygulama Güvenlik Testi (DAST), bir uygulamayı dışarıdan test etme, uzaktan bir çubukla ona alay etme metodolojisidir. DAST metodolojisi, çalışan bir uygulamaya yükleri problar ve gönderir ve ardından uygulamanın potansiyel sorunları tespit etmek için geri dönüp çığlık atmadığını kontrol eder.
Uygulamada, kalem testerleri kırmızı ekip ödevleri yaparken manuel DAST metodolojisini kullanırlar. Bir pentester, Statik Uygulama Güvenlik Testinin (SAST) manuel sürümü olan bir kod incelemesi de yapabilir.
Dast araçlarının tarihi
Dast araçları, yirmi yılı aşkın bir süredir, tipik olarak izole uygulamaları test etmek için tarama ve bulanık yetenekleri birleştirmek için tasarlanmıştır. Özetle, Dast Tools, hackleme metodolojisini otomatik bir şekilde uygulamayı amaçlamaktadır.
Test izole uygulamaları, monolitik olduklarında, tüm işlevselliği kapsüllediklerinde etkili olmuştur (bir PHP monolitinin eski güzel günlerini düşünün). Bununla birlikte, modern teknoloji mimarisinin yükselişiyle, uygulamaların sınırları çok bulanık hale geldi. Sonuç olarak, işlevsellik artık mikro hizmetler ve bulut bileşenleri gibi çeşitli bileşenlere yayıldığından test daha zor hale geldi. Güvenlik açıklarının, bu bileşenler arasındaki arayüzlerde, özellikle kenar vakalarını farklı şekillerde yorumladıklarında ortaya çıkması nadir değildir.
Birçok kuruluş, en hassas verileri içerdiği düşünülen sadece sınırlı bir üst varlık listesini tanımlar, saldırı yüzeyinin çoğunluğu herhangi bir kapsamsız kalır
Bunu göz önünde bulundurarak, “geleneksel DAST” ın (başka bir deyişle, Dast Araçları) çok azarlanamayan bir şekilde tasarlanma eğiliminde olması şaşırtıcı değildir. Geleneksel Dast araçları genellikle uygulama başına bir tarama profiline veya IP’ye eşdeğer bir saldırı yüzeyi.
Bildiğimiz gibi, tüm alt alanlar eşit yaratılmaz veya aynı ömre sahip değildir. Ayrıca, bir alt alan, kişisel olarak tanımlanabilir bilgiler içermeyebilir (PII), ancak yetkisiz açık bağlantı noktaları olabilir veya alt alan devralma.
Detective, bütçenizi “geleneksel” DAST araçlarından daha ileri götürebilir.
Yüzey İzleme + Uygulama Tarama = Sınıf İçinde En İyi AST Çözümü
Detective olarak, bir metodoloji olarak Dast’i aldık ve bir yöntem olarak yeniden keşfettik. Ama bu tam olarak ne anlama geliyor?
Başlamak için, her ikimizde de dast metodolojileri kullanıyoruz. Yüzey izleme Ve Uygulama Tarama ürünler. DAST metodolojisini platformumuz için temel olarak kullanarak, çözümümüzü yüksek derecede ölçeklenebilir olacak ve müşterilere daha fazla değer sağlayacak şekilde tasarladık.
Detective, tüm test doğruluğu oranında şirket içi motorları ve veteriner yükleri kullanarak CVE eşleşmesinin ötesine geçer. Çalıştığımız testlerin% 30’undan fazlasının onlarla ilgili bir CVE yok. Bunun yerine, vahşi doğada kullanılan yüklere odaklanıyoruz.
Çalıştığımız testlerin% 30’undan fazlasının kendileriyle ilgili bir CVE’si yoktur. Bunun yerine, vahşi doğada kullanılan yüklere odaklanıyoruz
Ayrıca daha ileri bir adım daha atıyoruz Crowdsource yakıtlı Dast’ı kullanıyor. . CrowdSource, belirli müşteriler için hataları düzeltmek yerine güvenlik açıklarının otomasyonuna odaklanır. Etik bilgisayar korsanlarımız CMS, çerçeve veya kütüphane gibi yaygın olarak kullanılan bir sistemde kabul edilen bir güvenlik açığı keşfettikten sonra, bildirilen bulguları platformumuza otomatikleştirilir. CrowdSource aracılığıyla belgesiz güvenlik açıklarını keşfederek, CVES kapsamının ötesine geçmeyi mümkün kılar.
Yüzey izleme
Yüzey izleme, etki alanı seviyesinde sürekli kontroller çalıştırır ve farkındığınız varlıkları bile keşfederek ve bu varlıkları günde üç kez güvenlik açıkları için tarayarak katma değer sunar. Ürün:
- Tüm kamu DNS ayak izinizi örtün ve herhangi bir sorun olmadan 100.000’den fazla alt alanla başa çıkabilir.
- Yalnızca en alakalı güvenlik testlerini tetiklemek için kullandığınız teknolojileri haritalayarak teknoloji yığınınızı parmak izi.
- Yardım ekiplerinin belirlenmesi, zorlaması ve ölçeklendirilmesi Özelleştirilebilir güvenlik politikaları Böylece en önemli konulara odaklanabilirsiniz.
- Bulut altyapısında yanlış yapılandırmaları ve güvenlik açıklarını keşfetmek için gerçek dünyayı, yük tabanlı testleri çalıştırın, içerik dağıtım ağları (CDN’ler) ve uygulamalar.
Uygulama Tarama
İnsanlar genellikle ürünümüzü, uygulama taramasını, bir DAST tarayıcısı olarak ifade eder. Normalde vatansız testler yoluyla ulaşılamayan varlıklardaki güvenlik açıklarını bulmak için tarama, bulanık ve kimlik doğrulamadan yararlanarak “geleneksel” bir DAST tarayıcısının yeteneklerinin ötesine geçiyoruz.
- Tarayıcımızı dahili olarak inşa ettik ve crowdsource topluluğumuzdan öğrenmeleri kullanarak optimize ettik.
- Paletimiz tek sayfalık uygulamaları işler ve tekrarlayan içerikle (medya ve e-ticaret uygulamaları gibi) büyük uygulamaları filtreler.
- Güçlü kimlik doğrulama motorumuz MFA kimlik doğrulamasını güvenli bir şekilde uygular ve kullanıcı davranışlarını tekrarlayabilir.
Git Kendini Hack
Daha önce de belirttiğimiz gibi, DASS’ı bir metodoloji olarak aldık ve bunu ASM’ye bir yöntem olarak yeniden keşfettik. İnternete dönük varlıkları keşfetme ve değerlendirme ve güvenlik açıklarını ve anormalliklerini arayan sürekli olarak, tüm saldırı yüzeyinizin en kapsamlı kapsamını sağlayan bir çözüm tespit eder.
Kuruluşunuzun internete bakan varlıklarını keşfetmek ve daha sonra bunları taramak birbirini dışlamaz (ve olmamalıdır). Bu yüzden saldırı yüzeyinizi kapsamak için daha bütünsel bir yaklaşım benimsemelisiniz.
Bizimle iletişime geçin Ekibinizin hem Dast hem de ASM’nin avantajlarını nasıl elde etmeye başlayabileceğini öğrenmek için.