AI驱动的设计应用
定义
动态应用程序安全测试 (DAST) 是一种 AppSec 测试方法:测试人员无需了解应用的内部交互或设计,也无需访问或查看源程序,即可在系统层面检查正在运行的应用。这种“黑盒”测试从外到内查看应用,检查其运行状态,并观察其对测试工具模拟攻击的响应。观察应用对这些模拟的响应有助于确定应用是否易受攻击,且易受真正的恶意攻击。
动态应用程序安全测试 (DAST) 是一种 AppSec 测试方法:测试人员无需了解应用的内部交互或设计,也无需访问或查看源程序,即可在系统层面检查正在运行的应用。这种“黑盒”测试从外到内查看应用,检查其运行状态,并观察其对测试工具模拟攻击的响应。观察应用对这些模拟的响应有助于确定应用是否易受攻击,且易受真正的恶意攻击。
DAST 通过模仿恶意攻击者,自动模拟攻击应用来开展测试。目标是发现可能被攻击者用于损害应用的预期之外的后果或结果。DAST 工具没有关于应用的内部信息,也没有源代码,因此会像外部黑客一样发起攻击 — 黑客掌握的应用知识和信息也同样有限。
如今,为了完全保护软件的安全,必须考虑整个攻击面。这意味着除了传统的静态应用程序安全测试 (SAST) 和软件组成分析 (SCA) 之外,还对 Web、移动和 API 应用程序实施持续的动态应用安全测试 (DAST)。
随着数字世界的加速发展,应用程序推动着世界经济的不断运转,而企业也在巨大的压力下努力保持领先地位。企业必须在一个复杂、无情的威胁参与者随时准备利用任何机会破坏、威胁关键数据和造成破坏的环境中不断创新。为了成功克服这一全新挑战,制定和执行一份可以确保其应用程序安全的计划,对于各企业而言就显得至关重要。
DAST 通过模仿恶意攻击者,模拟自动攻击应用来发挥作用。目标是发现可能被攻击者用于损害应用的预期之外的后果或结果。DAST 工具没有关于应用或源代码的内部信息,因此会像外部威胁行动者一样发起攻击 — 他们掌握的应用知识和信息也同样有限。
安全漏洞的原因
使用开源库有助于 DevOps 团队更快地构建云应用程序,但同时也让各公司面临这样一种风险,即分发可能包含在开源代码中的安全漏洞。软件组成分析 (SCA) 等测试工具使 DevOps 团队能够发现已集成到应用程序中的第三方和开源组件。SCA 解决方案通常会扫描这些组件,寻找已知的常见漏洞和暴露 (CVE) 以及过期或缺失的软件许可证和库。大多数开源库都包含其他开源库,由此创建了一个复杂的传递依赖列表。这种隐藏的复杂性可能会给 DevOps 团队带来安全方面的难题。现代安全平台应包括一个 SCA 解决方案,该解决方案能够识别所有被包含库中的漏洞以及开源库中嵌入的传递性依赖。注重安全的 DevOps 团队通常会将 SCA 扫描纳入其持续交付 (CD) 流程。
一旦 DevOps 团队构建了一个正在运行的应用程序,就需要在部署到云之前进行一系列黑盒测试。这些测试模拟了攻击者用来查找潜在应用程序安全弱点的技术。DAST 解决方案能够找到难以通过 SCA 发现的运行时漏洞,例如身份验证和服务器配置错误、代码注入、SQL 注入和 XSS 错误。DAST 工具在应用程序上使用故障注入技术,例如,向软件提供不同的恶意数据,以识别常见的安全漏洞。由于 DAST 扫描着眼于正在运行的软件,因此它们会在 DevOps 流水线中进一步出现,并且可以在预生产或生产环境中运行。
随着越来越多的企业依靠 Web 和移动应用程序取得成功,应用程序安全漏洞已迅速成为数据泄露的最常见原因。因此,对于各企业而言,保护其应用程序和代码比以往任何时候都显得更加重要。
各公司目前面临的挑战
代码更改的速度正在加快,托管应用程序的基础架构正在发生变化,对应用程序的攻击数量也在增加。这三个转变引起了对轻量级但全面且高度可用的应用程序安全解决方案的需求。这些解决方案可满足信息安全团队与应用程序开发团队之间的协同工作。这是通过有效运行的应用程序安全工具来实现的,在正在处理的项目的上下文中,准确地报告漏洞和应用程序的安全状态。同时还必须为特别棘手的问题提供专家咨询,并提供可轻松集成到 SDLC 中的解决方案,从而为开发人员的教育提供支持。
实施 DAST,不仅对确定在生产中运行的应用程序的安全状态以及它们可能与最终用户交互的方式而言必不可少,而且对于团队能够跟上不断变化的应用程序步伐和了解对手而言,如今也变得至关重要。有效的 DevSecOps 始于获取由 DAST 产生的反馈,然后将其集成到 SecOps 和 DevOps 工具中。毕竟,DAST 发现了会使公司及其最终用户面临风险的实际漏洞
各公司越来越依赖云平台,因此需要对安全的各个方面进行考虑,而不是忽视应用程序安全层面。随着新的应用程序、API 和功能的不断增加,应用程序攻击面正在迅速扩大。这种增长促使不良行动者使用易于访问的工具和实用程序,来利用具有已知漏洞或易感代码的应用程序。一旦应用程序遭到破坏,这些不良行动者可能会获得未被检测到的机密客户数据、个人身份信息和/或其他可利用的公司资源的访问权限,使组织遭受代价高昂的信息泄露和客户信任丧失。
仅在开发中测试应用程序,无法保护它们免受生产环境中的破坏。正式的应用程序安全计划对于降低整体业务风险至关重要。正确的策略和技术可以识别各种可用于攻击应用程序的漏洞,并展示如何在漏洞发生之前保护应用程序。如果执行正确,各公司将授权其团队迅速承担责任并纠正潜在问题,而不会造成干扰。
WhiteHat Dynamic 按照 DevOps 速度和企业规模进行动态测试 (DAST)。WhiteHat Dynamic 可快速准确地发现网站和应用程序中的漏洞,具有识别整个应用程序组合中的安全风险所需的规模和灵活性。
WhiteHat Security 自 2001 年开始运营,在应用程序安全领域拥有近二十年的经验,并开发了基于软件即服务 (SaaS) 的现代安全平台。该平台能够检测在云端和本地运行的企业应用程序中的安全漏洞。
WhiteHat Security 被 Synopsys 收购。Synopsys 是公认的软件安全领导者,也是 2022 年 Gartner®魔力象限™ 应用安全测试 (AST) 的领导者,已连续六年获得此殊荣。