Diventa Autore per CoreTech | Scopri di più





3 motivi per cui DAST è il migliore per la sicurezza delle applicazioni Web

20/01/21 CoreTech Blog

Per proteggere completamente le applicazioni Web, sono necessarie diverse soluzioni software, risorse interne specializzate e collaboratori esterni. Tuttavia, questo significa costi significativi e non tutti possono permetterselo tutto in una volta. In che modo le piccole imprese dovrebbero iniziare il viaggio verso la sicurezza delle applicazioni web?

Diamo un'occhiata alle tue opzioni e ai motivi per cui DAST è un chiaro vincitore come punto di partenza per la sicurezza delle applicazioni web.

Opzioni di protezione delle applicazioni Web

Molti produttori di software per la sicurezza web pubblicizzano i propri prodotti come l'unica cosa necessaria per proteggere i siti Web e le applicazioni Web. Questo ovviamente non è vero, e qui ci sono alcuni dei motivi principali per cui:

  • Web application firewall (WAF): sono pubblicizzati come il modo per prevenire gli attacchi web; tuttavia, possono essere aggirati dagli aggressori e non risolvono il problema (l'applicazione rimane vulnerabile). Potresti ritrovarti con un'applicazione piena di buchi dietro un muro di carta.
  • Analizzatori di composizione software (SCA): sono il modo migliore per evitare software open source vulnerabile, ma se personalizzi le applicazioni open source in qualsiasi modo o se scrivi il tuo codice, non ti aiuteranno affatto. Potresti finire per avere WordPress sicuro e la tua applicazione piena di buchi.
  • Strumenti di protezione runtime (RASP): sono pensati solo per proteggere la tua applicazione mentre è in esecuzione in produzione; fino ad allora, non hai idea se abbia delle vulnerabilità. Potresti finire per renderti conto di avere un problema mentre sei effettivamente hackerato.
  • Scanner white box ( strumenti SAST): sono pubblicizzati come in grado di trovare la maggior parte delle vulnerabilità nella tua applicazione; tuttavia, richiedono di creare l'applicazione da zero o di avere il suo codice sorgente, funzionano solo per alcuni linguaggi di programmazione e segnalano molti falsi positivi. Potresti finire per doverne acquistare cinque e il tuo WordPress sarà ancora pieno di buchi.
  • Scanner gray box ( strumenti IAST) - come gli strumenti SAST, sono pensati anche per il tuo codice, sono disponibili solo per alcuni linguaggi di programmazione e, nella maggior parte dei casi, dipendono fortemente dalle suite di test.
  • Scanner black-box (strumenti DAST): ultimo ma non meno importante, gli strumenti DAST non ti indicheranno la fonte dell'errore con la stessa efficacia di uno strumento SAST / IAST, ma sono di gran lunga la soluzione più universale ed economica.

Invece di acquistare software, puoi ovviamente assumere professionisti per eseguire analisi manuali utilizzando strumenti gratuiti oppure esternalizzare la tua sicurezza web. Tuttavia, in entrambi i casi, l'efficienza nel trovare le vulnerabilità ed eliminarle il prima possibile ne risentirà notevolmente. Sebbene il penetration test manuale trovi più di qualsiasi strumento automatizzato, richiede molto tempo ed è molto più costoso di un software ben selezionato.

Ecco perché riteniamo che la tua migliore opzione sia prima utilizzare uno strumento DAST professionale e solo successivamente espandere il tuo set di strumenti.

Motivo 1. Gli strumenti DAST sono universali

Vuoi verificare la sicurezza della tua applicazione? O un'applicazione di terze parti acquistata da un'altra azienda? O un'applicazione gratuita scaricata da Internet? Vuoi controllare l'applicazione appena prima che vada in produzione? O preferisci controllarlo mentre viene sviluppato?

Da qualunque parte provenga la tua applicazione, qualunque sia la lingua in cui è scritta e in qualunque fase di sviluppo risieda attualmente (purché possa essere eseguita), uno strumento DAST ti consentirà di verificarne le vulnerabilità. Questo lo rende lo strumento più universale sul mercato. Tutto ciò di cui ha bisogno è che la tua applicazione web sia accessibile tramite un browser.

Nessun altro strumento può nemmeno iniziare a confrontare in termini di quanto siano universali. Gli strumenti WAF e RASP funzionano solo in produzione. Gli strumenti SCA funzionano solo con software open source. Gli strumenti SAST funzionano solo se si dispone del codice sorgente. Gli strumenti IAST funzionano solo per alcune lingue.

Banner

Pertanto, se stai cercando uno strumento che puoi utilizzare in qualsiasi contesto, indipendentemente dallo sviluppo della tua azienda, DAST è la strada da percorrere. Se inizi con un'applicazione di terze parti e poi passi allo sviluppo interno, DAST sarà ancora disponibile. Se inizi con la scansione durante lo staging e poi desideri implementare DevSecOps , DAST sarà ancora lì.

Un investimento in DAST non ti legherà mai a nessun tipo di tecnologia o organizzazione aziendale interna. Non otterrai quel tipo di ritorno sull'investimento con nessun'altra soluzione.

Motivo 2. Gli strumenti DAST sono i più accurati

Per proteggere i tuoi siti web e le tue applicazioni web, devi assicurarti che siano tutti protetti e che ogni parte di essi sia sicura. Quindi, è necessario eliminare le vulnerabilità rilevate.

Questa è un'altra area in cui gli strumenti DAST brillano. Non si limitano a controllare il codice dell'applicazione web. Esaminano anche l'ambiente in cui viene eseguita l'applicazione web. Ad esempio, uno strumento DAST non solo ti aiuterà a individuare una vulnerabilità nell'applicazione stessa ma anche nella configurazione del server web. Ti dirà anche se stai usando una password debole. Ancora una volta, nessun altro strumento può fare tutto ciò allo stesso tempo.

Potresti aver sentito miti secondo cui gli strumenti DAST hanno problemi con le applicazioni autenticate, ma semplicemente non è vero a meno che tu non stia utilizzando soluzioni amatoriali. Quando parliamo di strumenti DAST, parliamo di strumenti come Acunetix, che sono stati sviluppati da zero da aziende dedite alla sicurezza web.

Esiste, tuttavia, un grande vantaggio quando si utilizzano gli strumenti SAST e IAST. Semplificano la riparazione perché possono indicare un errore nel codice sorgente. 

Motivo 3. Gli strumenti DAST sono i più convenienti

L'investimento in uno strumento DAST professionale può sembrare importante per una piccola impresa, ma si ripaga rapidamente perché è possibile mantenere un livello ragionevolmente alto di sicurezza delle applicazioni Web con una sola soluzione. D'altra parte, se investi in un diverso tipo di strumento, ottieni molto meno valore per i soldi e sei costretto a reinvestire ogni volta che la tua attività subisce cambiamenti.

Se pensi che esternalizzare la tua sicurezza sarà più conveniente, potresti avere una spiacevole sorpresa. Sebbene sia utile migliorare la tua sicurezza assumendo terze parti per eseguire controlli di sicurezza, non ti danno assolutamente alcuna informazione sulla tua posizione di sicurezza quotidiana. Probabilmente non ti sentiresti al sicuro eseguendo una scansione antivirus ogni sei mesi, quindi perché sarebbe accettabile fare lo stesso per le tue applicazioni web business-critical?

Un altro vantaggio in termini di denaro delle soluzioni DAST è la mancanza di costi nascosti. Nel caso di molte altre soluzioni, finisci per affrontare spese aggiuntive dovute alla necessità di assumere esperti o formare i tuoi team. 

Conclusione:

Se ti senti convinto che DAST sia il modo migliore per iniziare il tuo viaggio verso la sicurezza delle applicazioni web, potresti ancora sentirti confuso su quale prodotto sia l'opzione migliore.

Fortunatamente, ci sono meno di dieci strumenti DAST professionali sul mercato, quindi non c'è molta scelta. Solo alcuni di questi prodotti sono stati sviluppati da esperti di sicurezza delle applicazioni Web, altri sono solo componenti aggiuntivi per gli scanner di rete. Solo alcuni di questi prodotti vengono attivamente sviluppati e migliorati con le tecnologie più recenti. Solo pochi di questi prodotti si concentrano sulla facilità d'uso e sull'economicità della scansione.

 


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23