Diventa Autore per CoreTech | Scopri di più
20/01/21 CoreTech Blog
Diamo un'occhiata alle tue opzioni e ai motivi per cui DAST è un chiaro vincitore come punto di partenza per la sicurezza delle applicazioni web.
Molti produttori di software per la sicurezza web pubblicizzano i propri prodotti come l'unica cosa necessaria per proteggere i siti Web e le applicazioni Web. Questo ovviamente non è vero, e qui ci sono alcuni dei motivi principali per cui:
Invece di acquistare software, puoi ovviamente assumere professionisti per eseguire analisi manuali utilizzando strumenti gratuiti oppure esternalizzare la tua sicurezza web. Tuttavia, in entrambi i casi, l'efficienza nel trovare le vulnerabilità ed eliminarle il prima possibile ne risentirà notevolmente. Sebbene il penetration test manuale trovi più di qualsiasi strumento automatizzato, richiede molto tempo ed è molto più costoso di un software ben selezionato.
Ecco perché riteniamo che la tua migliore opzione sia prima utilizzare uno strumento DAST professionale e solo successivamente espandere il tuo set di strumenti.
Vuoi verificare la sicurezza della tua applicazione? O un'applicazione di terze parti acquistata da un'altra azienda? O un'applicazione gratuita scaricata da Internet? Vuoi controllare l'applicazione appena prima che vada in produzione? O preferisci controllarlo mentre viene sviluppato?
Da qualunque parte provenga la tua applicazione, qualunque sia la lingua in cui è scritta e in qualunque fase di sviluppo risieda attualmente (purché possa essere eseguita), uno strumento DAST ti consentirà di verificarne le vulnerabilità. Questo lo rende lo strumento più universale sul mercato. Tutto ciò di cui ha bisogno è che la tua applicazione web sia accessibile tramite un browser.
Nessun altro strumento può nemmeno iniziare a confrontare in termini di quanto siano universali. Gli strumenti WAF e RASP funzionano solo in produzione. Gli strumenti SCA funzionano solo con software open source. Gli strumenti SAST funzionano solo se si dispone del codice sorgente. Gli strumenti IAST funzionano solo per alcune lingue.
Pertanto, se stai cercando uno strumento che puoi utilizzare in qualsiasi contesto, indipendentemente dallo sviluppo della tua azienda, DAST è la strada da percorrere. Se inizi con un'applicazione di terze parti e poi passi allo sviluppo interno, DAST sarà ancora disponibile. Se inizi con la scansione durante lo staging e poi desideri implementare DevSecOps , DAST sarà ancora lì.
Un investimento in DAST non ti legherà mai a nessun tipo di tecnologia o organizzazione aziendale interna. Non otterrai quel tipo di ritorno sull'investimento con nessun'altra soluzione.
Per proteggere i tuoi siti web e le tue applicazioni web, devi assicurarti che siano tutti protetti e che ogni parte di essi sia sicura. Quindi, è necessario eliminare le vulnerabilità rilevate.
Questa è un'altra area in cui gli strumenti DAST brillano. Non si limitano a controllare il codice dell'applicazione web. Esaminano anche l'ambiente in cui viene eseguita l'applicazione web. Ad esempio, uno strumento DAST non solo ti aiuterà a individuare una vulnerabilità nell'applicazione stessa ma anche nella configurazione del server web. Ti dirà anche se stai usando una password debole. Ancora una volta, nessun altro strumento può fare tutto ciò allo stesso tempo.
Potresti aver sentito miti secondo cui gli strumenti DAST hanno problemi con le applicazioni autenticate, ma semplicemente non è vero a meno che tu non stia utilizzando soluzioni amatoriali. Quando parliamo di strumenti DAST, parliamo di strumenti come Acunetix, che sono stati sviluppati da zero da aziende dedite alla sicurezza web.
Esiste, tuttavia, un grande vantaggio quando si utilizzano gli strumenti SAST e IAST. Semplificano la riparazione perché possono indicare un errore nel codice sorgente.
L'investimento in uno strumento DAST professionale può sembrare importante per una piccola impresa, ma si ripaga rapidamente perché è possibile mantenere un livello ragionevolmente alto di sicurezza delle applicazioni Web con una sola soluzione. D'altra parte, se investi in un diverso tipo di strumento, ottieni molto meno valore per i soldi e sei costretto a reinvestire ogni volta che la tua attività subisce cambiamenti.
Se pensi che esternalizzare la tua sicurezza sarà più conveniente, potresti avere una spiacevole sorpresa. Sebbene sia utile migliorare la tua sicurezza assumendo terze parti per eseguire controlli di sicurezza, non ti danno assolutamente alcuna informazione sulla tua posizione di sicurezza quotidiana. Probabilmente non ti sentiresti al sicuro eseguendo una scansione antivirus ogni sei mesi, quindi perché sarebbe accettabile fare lo stesso per le tue applicazioni web business-critical?
Un altro vantaggio in termini di denaro delle soluzioni DAST è la mancanza di costi nascosti. Nel caso di molte altre soluzioni, finisci per affrontare spese aggiuntive dovute alla necessità di assumere esperti o formare i tuoi team.
Se ti senti convinto che DAST sia il modo migliore per iniziare il tuo viaggio verso la sicurezza delle applicazioni web, potresti ancora sentirti confuso su quale prodotto sia l'opzione migliore.
Fortunatamente, ci sono meno di dieci strumenti DAST professionali sul mercato, quindi non c'è molta scelta. Solo alcuni di questi prodotti sono stati sviluppati da esperti di sicurezza delle applicazioni Web, altri sono solo componenti aggiuntivi per gli scanner di rete. Solo alcuni di questi prodotti vengono attivamente sviluppati e migliorati con le tecnologie più recenti. Solo pochi di questi prodotti si concentrano sulla facilità d'uso e sull'economicità della scansione.