Temas técnicos

¿Qué es Dynamic Application Security Testing (DAST)?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Las pruebas dinámicas de seguridad de aplicaciones (DAST) es el proceso de analizar una aplicación web a través del front-end para encontrar vulnerabilidades mediante ataques simulados. Este tipo de enfoque evalúa la aplicación desde "fuera hacia dentro" atacando una aplicación como lo haría un usuario malintencionado. Después de que un escáner de DAST realice estos ataques, busca resultados que no formen parte del conjunto de resultados esperado e identifica vulnerabilidades de seguridad.

Dynamic Application Security Testing (DAST)

Pros de DAST

  • Independiente de la aplicación
  • Detecta inmediatamente vulnerabilidades que podrían ser explotadas
  • No requiere acceso al código fuente

Contras de DAST

  • No encuentra la ubicación exacta de una vulnerabilidad en el código
  • Se necesitan conocimientos de seguridad para interpretar los informes
  • Las pruebas pueden llevar mucho tiempo

El desarrollo y las pruebas de aplicaciones siguen siendo el proceso de seguridad más difícil para las organizaciones, según los profesionales de la seguridad informática. Los desarrolladores necesitan soluciones que les ayuden a crear código seguro, y ahí es donde entran en juego las herramientas de seguridad de aplicaciones (AppSec).

AppSec es la disciplina de procesos, herramientas y prácticas cuyo objetivo es proteger las aplicaciones de las amenazas a lo largo de todo su ciclo de vida.

Hay muchas formas de probar la seguridad de las aplicaciones, entre ellas:


¿Por qué es importante DAST ?

DAST es importante porque los desarrolladores no tienen que confiar únicamente en sus propios conocimientos a la hora de crear aplicaciones. Mediante la realización de DAST durante el SDLC, puede detectar vulnerabilidades en una aplicación antes de que se despliegue al público. Si estas vulnerabilidades no se comprueban y la aplicación se despliega como tal, podría producirse una filtración de datos, lo que provocaría importantes pérdidas económicas y dañaría la reputación de su marca. El error humano desempeñará inevitablemente un papel en algún momento del ciclo de vida de desarrollo de software (SDLC), y cuanto antes se detecte una vulnerabilidad durante el SDLC, más barato será solucionarla.

Cuando DAST se incluye como parte de la integración continua/desarrollo continuo (CI/CD), se habla de "DevOps seguro" o "DevSecOps".


¿Cómo funciona DAST ?

Un escáner DAST busca vulnerabilidades en una aplicación en ejecución y envía alertas automáticas si encuentra fallos que permiten ataques como inyecciones SQL, Cross-Site Scripting (XSS), etc. Dado que las herramientas DAST están equipadas para funcionar en un entorno dinámico, pueden detectar fallos en tiempo de ejecución que las herramientas SAST no pueden identificar.

Utilizando el ejemplo de un edificio, un escáner de DAST puede considerarse como un guardia de seguridad. Sin embargo, en lugar de limitarse a asegurarse de que las puertas y ventanas están cerradas, este guardia va un paso más allá e intenta entrar físicamente en el edificio. Puede intentar forzar las cerraduras de las puertas o romper las ventanas. Una vez finalizado este examen, el vigilante puede informar al administrador del edificio y explicarle cómo ha conseguido entrar en él. Un escáner de DAST puede concebirse de la misma manera: intenta activamente encontrar vulnerabilidades en un entorno en ejecución para que el equipo de DevOps sepa dónde y cómo solucionarlas.

¿Cuál es la herramienta DAST más adecuada para desarrolladores?

OpenText™ Fortify™ WebInspect proporciona pruebas de seguridad de aplicaciones dinámicas automatizadas para que pueda explorar y corregir las vulnerabilidades explotables de las aplicaciones web.

Normalmente, el DAST se realiza después de la producción, ya que está emulando ataques en una aplicación en ejecución; pero al tomar la decisión de "Desplazar el DAST hacia la izquierda" (mover el DAST más temprano en el proceso de desarrollo) se pueden detectar vulnerabilidades antes, lo que ahorra tiempo y dinero. Fortify WebInspect incluye políticas de escaneo pre-construidas, equilibrando la necesidad de velocidad con sus requerimientos organizacionales.

Fortify WebInspect también incluye una función de exploración incremental, que permite evaluar rápidamente las vulnerabilidades sólo en las áreas de la aplicación que han cambiado.

Fortify WebInspect te permite:

  • DevOps seguro con automatización DAST
  • Gestione el riesgo de AppSec a escala
  • Cumplir las principales normativas sobre seguridad de datos
  • Shift DAST izquierda
  • Rastreo de marcos y API modernos
  • Cree un programa AppSec más sólido

¿Cuál es la diferencia entre SAST y DAST?

DAST ataca la aplicación desde "fuera hacia dentro" atacando una aplicación como lo haría un usuario malicioso. Después de que un escáner de DAST realice estos ataques, busca resultados que no formen parte del conjunto de resultados esperado e identifica vulnerabilidades de seguridad.

SASTPor otro lado, analiza entornos estáticos, es decir, el código fuente de una aplicación. Examina la aplicación desde "dentro hacia fuera", buscando vulnerabilidades en el código.

Para maximizar la fortaleza de su postura de seguridad, es una mejor práctica utilizar tanto SAST como DAST. Tener esta taxonomía unificada a través de los métodos de prueba le permite tener una visión completa de las vulnerabilidades.


En OpenText Fortify ...

Mejoramos su SDLC con Dynamic Application Security Testing (DAST). Fortify WebInspect proporciona la tecnología y los informes que necesita para proteger y analizar sus aplicaciones. Por su diseño, esta y otras herramientas de OpenText tienden un puente entre las tecnologías existentes y las emergentes, lo que significa que puede innovar y ofrecer aplicaciones más rápidamente, con menos riesgos, en la carrera hacia la transformación digital.

Fortify ofrece las tecnologías de pruebas de seguridad de aplicaciones estáticas y dinámicas más completas, junto con supervisión y protección de aplicaciones en tiempo de ejecución, respaldadas por investigaciones de seguridad líderes en el sector.

Póngase en contacto con nosotros

Póngase en contacto con nosotros Fortify WebInspect

Póngase en contacto con nosotros

Notas a pie de página