Tekniska ämnen

Vad är Dynamic Application Security Testing (DAST)?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

Dynamisk säkerhetstestning av applikationer (DAST) är en process där man analyserar en webbapplikation via frontend för att hitta sårbarheter genom simulerade attacker. Denna typ av metod utvärderar applikationen "utifrån och in" genom att attackera en applikation på samma sätt som en illvillig användare skulle göra. Efter att en DAST -skanner har utfört dessa attacker letar den efter resultat som inte ingår i den förväntade resultatuppsättningen och identifierar säkerhetsproblem.

Dynamic Application Security Testing (DAST)

Fördelar med DAST

  • Oberoende av applikationen
  • Omedelbart hitta sårbarheter som kan utnyttjas
  • Kräver inte tillgång till källkoden

Nackdelar med DAST

  • Hittar inte den exakta platsen för en sårbarhet i koden
  • Säkerhetskunskap krävs för att tolka rapporter
  • Testet kan vara tidskrävande

Utveckling och testning av applikationer fortsätter att vara den mest utmanande säkerhetsprocessen för organisationer, enligt IT-säkerhetsexperter. Utvecklare behöver lösningar som hjälper dem att skapa säker kod, och det är här AppSec-verktygen (Application Security) kommer in i bilden.

AppSec är en disciplin med processer, verktyg och metoder som syftar till att skydda applikationer från hot genom hela applikationens livscykel.

Det finns många sätt att testa applikationssäkerhet, bland annat:


Varför är DAST viktigt?

DAST är viktigt eftersom utvecklare inte behöver förlita sig enbart på sin egen kunskap när de bygger applikationer. Genom att genomföra DAST under SDLC kan du upptäcka sårbarheter i en applikation innan den distribueras till allmänheten. Om dessa sårbarheter inte åtgärdas och appen distribueras som sådan kan det leda till ett dataintrång, vilket kan leda till stora ekonomiska förluster och skada ditt varumärkes rykte. Det mänskliga felet kommer oundvikligen att spela en roll någon gång under livscykeln för programvaruutveckling (SDLC), och ju tidigare en sårbarhet upptäcks under SDLC, desto billigare är den att åtgärda.

När DAST ingår som en del av CI/CD-pipelinen (Continuous Integration/Continuous Development) kallas detta för "Secure DevOps" eller "DevSecOps".


Hur fungerar DAST ?

En DAST -skanner söker efter sårbarheter i en applikation som körs och skickar sedan automatiska varningar om den hittar brister som möjliggör attacker som SQL-injektioner, XSS (Cross-Site Scripting) med mera. Eftersom DAST -verktyg är utrustade för att fungera i en dynamisk miljö kan de upptäcka brister i körtiden som SAST -verktyg inte kan identifiera.

För att ta en byggnad som exempel kan en DAST scanner liknas vid en säkerhetsvakt. Men i stället för att bara se till att dörrar och fönster är låsta går vakten ett steg längre genom att försöka bryta sig in i byggnaden rent fysiskt. Vakten kan försöka dyrka upp låsen på dörrarna eller krossa fönster. Efter att ha avslutat undersökningen kan vakten rapportera tillbaka till byggnadschefen och ge en förklaring till hur han lyckades bryta sig in i byggnaden. En DAST -skanner kan ses på samma sätt - den försöker aktivt hitta sårbarheter i en körmiljö så att DevOps-teamet vet var och hur de ska åtgärda dem.

Vad är ett DAST verktyg som är väl lämpat för utvecklare?

OpenText™ Fortify™ WebInspect tillhandahåller automatiserad dynamisk säkerhetstestning av applikationer så att du kan skanna och åtgärda sårbarheter i webbapplikationer som kan utnyttjas.

Vanligtvis görs DAST efter produktion eftersom den emulerar attacker på en applikation som körs; men genom att fatta beslutet att "skifta DAST vänster" (flytta DAST tidigare i utvecklingsprocessen) kan du upptäcka sårbarheter tidigare, vilket sparar tid och pengar. Fortify WebInspect innehåller förbyggda skanningspolicyer som balanserar behovet av hastighet med dina organisatoriska krav.

Fortify WebInspect innehåller också en funktion för inkrementell skanning, som gör att du snabbt kan bedöma sårbarheter i endast de delar av programmet som har ändrats.

Fortify WebInspect låter dig göra det:

  • Säkra DevOps med automatiserad DAST
  • Hantera AppSec-risker i stor skala
  • Uppnå efterlevnad av viktiga regler för datasäkerhet
  • Skifta DAST till vänster
  • Genomsöka moderna ramverk och API:er
  • Bygg ett starkare AppSec-program

Vad är skillnaden mellan SAST och DAST?

DAST angriper programmet "utifrån och in" genom att angripa ett program som en illasinnad användare skulle göra. När en DAST -skanner har utfört dessa attacker letar den efter resultat som inte ingår i den förväntade resultatuppsättningen och identifierar säkerhetsproblem.

SASTanalyserar å andra sidan statiska miljöer, det vill säga källkoden till en applikation. Man tittar på applikationen från "insidan och ut" och letar efter sårbarheter i koden.

För att maximera styrkan i din säkerhetsställning är det en bra idé att använda både SAST och DAST. Med denna enhetliga taxonomi för olika testmetoder får du en fullständig bild av sårbarheter.


På OpenText Fortify ...

Vi förbättrar din SDLC med Dynamic Application Security Testing (DAST). Fortify WebInspect tillhandahåller den teknik och rapportering du behöver för att säkra och analysera dina applikationer. Detta och andra verktyg från OpenText överbryggar klyftan mellan befintliga och nya tekniker - vilket innebär att du kan innovera och leverera appar snabbare, med mindre risk, i kapplöpningen mot digital omvandling.

Fortify erbjuder de mest omfattande teknikerna för statisk och dynamisk testning av applikationssäkerhet, tillsammans med övervakning och skydd av applikationer under körning, med stöd av branschledande säkerhetsforskning.

Kontakta oss

Kontakta oss för mer information om Fortify WebInspect

Kontakta oss

Hur kan vi hjälpa till?

Fotnoter