Dynamic Application Security Testing (DAST) 란 무엇인가요?
개요
동적 애플리케이션 보안 테스트(DAST)는 웹 애플리케이션을 프런트엔드에서 분석하여 모의 공격을 통해 취약점을 찾는 프로세스입니다. 이 유형의 접근 방식은 악의적인 사용자처럼 애플리케이션을 공격하여 "외부에서 내부로" 애플리케이션을 평가합니다. DAST 스캐너는 이러한 공격을 수행한 후 예상 결과 집합에 포함되지 않은 결과를 찾아 보안 취약점을 식별합니다.
Dynamic Application Security Testing (DAST)
장점 DAST
- 애플리케이션과 독립적
- 악용될 수 있는 취약점을 즉시 발견합니다.
- 소스 코드에 액세스할 필요가 없습니다.
단점 DAST
- 코드에서 취약점의 정확한 위치를 찾지 못함
- 보고서를 해석하려면 보안 지식이 필요합니다.
- 테스트에 많은 시간이 소요될 수 있습니다.
IT 보안 전문가들에 따르면 애플리케이션 개발 및 테스트는 조직에서 가장 까다로운 보안 프로세스로 꼽힙니다. 개발자는 안전한 코드를 생성하는 데 도움이 되는 솔루션이 필요하며, 바로 이 부분에서 애플리케이션 보안(AppSec) 도구가 중요한 역할을 합니다.
앱 보안은 전체 애플리케이션 수명 주기 동안 애플리케이션을 위협으로부터 보호하기 위한 프로세스, 도구 및 관행의 규율입니다.
애플리케이션 보안을 테스트하는 방법에는 다음과 같은 여러 가지가 있습니다:
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
- 모바일 애플리케이션 보안 테스트(MAST)
- 대화형 애플리케이션 보안 테스트(IAST)
DAST 이 중요한 이유는 무엇인가요?
DAST 는 개발자가 애플리케이션을 구축할 때 자신의 지식에만 의존할 필요가 없기 때문에 중요합니다. SDLC 기간 동안 DAST 을 수행하면 애플리케이션이 대중에게 배포되기 전에 애플리케이션의 취약점을 발견할 수 있습니다. 이러한 취약점을 확인하지 않고 그대로 앱을 배포하면 데이터 유출로 이어져 막대한 금전적 손실과 브랜드 평판 손상을 초래할 수 있습니다. 소프트웨어 개발 수명 주기(SDLC)의 어느 시점에서 인적 오류는 필연적으로 발생하며, SDLC 기간 동안 취약점을 빨리 발견할수록 수정하는 데 드는 비용이 저렴해집니다.
DAST 이 지속적 통합/지속 개발(CI/CD) 파이프라인의 일부로 포함된 경우, 이를 "보안 데브옵스" 또는 "DevSecOps"라고 합니다.
DAST 어떻게 작동하나요?
DAST 스캐너는 실행 중인 애플리케이션에서 취약점을 검색한 다음 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등의 공격을 허용하는 결함을 발견하면 자동 경고를 보냅니다. DAST 도구는 동적 환경에서 작동하도록 설계되었기 때문에 SAST 도구가 식별할 수 없는 런타임 결함을 탐지할 수 있습니다.
건물을 예로 들면 DAST 스캐너는 경비원처럼 생각할 수 있습니다. 하지만 이 경비원은 문과 창문이 잠겼는지 확인하는 데 그치지 않고 한 걸음 더 나아가 물리적으로 건물에 침입을 시도합니다. 경비원은 문에 달린 자물쇠를 따거나 창문을 깨려고 시도할 수 있습니다. 이 검사를 마친 후 경비원은 건물 관리자에게 보고하고 어떻게 건물에 침입할 수 있었는지 설명할 수 있습니다. DAST 스캐너도 이와 같은 방식으로 생각할 수 있습니다. 실행 중인 환경에서 취약점을 적극적으로 찾아내어 DevOps 팀이 취약점을 어디서 어떻게 수정해야 하는지 알 수 있도록 합니다.개발자에게 적합한 DAST 도구는 무엇인가요?
OpenText™ Fortify™ WebInspect 는 자동화된 동적 애플리케이션 보안 테스트를 제공하여 악용 가능한 웹 애플리케이션 취약점을 검사하고 수정할 수 있도록 합니다.
일반적으로 DAST는 실행 중인 애플리케이션에 대한 공격을 에뮬레이션하기 때문에 프로덕션 이후에 수행되지만, "DAST 왼쪽 이동"(개발 프로세스 초기에 DAST를 이동)을 결정하면 취약점을 더 빨리 탐지하여 시간과 비용을 절약할 수 있습니다. Fortify WebInspect 사전 구축된 스캔 정책이 포함되어 있어 속도에 대한 요구와 조직의 요구 사항 간의 균형을 맞출 수 있습니다.
Fortify WebInspect 에는 증분 스캔 기능도 포함되어 있어 변경된 애플리케이션 영역의 취약점만 빠르게 검사할 수 있습니다.
Fortify WebInspect 를 사용하면 됩니다:
- 자동화된 보안 데브옵스 DAST
- 규모에 맞는 앱보안 위험 관리
- 주요 데이터 보안 규정 준수
- DAST 왼쪽으로 이동
- 최신 프레임워크 및 API 크롤링
- 더 강력한 앱 보안 프로그램 구축
SAST 와 DAST 의 차이점은 무엇인가요?
DAST 는 악의적인 사용자처럼 애플리케이션을 공격하여 '외부에서 내부로' 애플리케이션을 공격합니다. DAST 스캐너는 이러한 공격을 수행한 후 예상 결과 집합에 포함되지 않은 결과를 찾아 보안 취약점을 식별합니다.
SAST반면에 정적 환경, 즉 애플리케이션의 소스 코드를 분석합니다. 애플리케이션을 '내부에서 외부'로 살펴보고 코드의 취약점을 찾습니다.
보안 태세의 강도를 극대화하려면 SAST 과 DAST 을 모두 사용하는 것이 가장 좋습니다. 테스트 방법 전반에 걸쳐 이러한 통합 분류 체계를 사용하면 취약점을 완벽하게 파악할 수 있습니다.
OpenText Fortify ...
Dynamic Application Security Testing (DAST). Fortify WebInspect 애플리케이션을 보호하고 분석하는 데 필요한 기술과 보고 기능을 제공합니다. 이 도구와 다른 OpenText 도구는 기존 기술과 새로운 기술 간의 격차를 해소하여 디지털 혁신을 위한 경쟁에서 위험을 줄이면서 더 빠르게 앱을 혁신하고 제공할 수 있도록 설계되었습니다.
Fortify 는 업계 최고의 보안 연구로 뒷받침되는 런타임 애플리케이션 모니터링 및 보호와 함께 가장 포괄적인 정적 및 동적 애플리케이션 보안 테스트 기술을 제공합니다.
