EN flag
Listino Supporto Partner Contatti 800 13.40.41

Articoli

Icona delle News




3 motivi per cui DAST è il migliore per la sicurezza delle applicazioni Web

DAST sicurezza applicazioni Web

20/01/21 CoreTech Blog

Per proteggere completamente le applicazioni Web, sono necessarie diverse soluzioni software, risorse interne specializzate e collaboratori esterni. Tuttavia, questo significa costi significativi e non tutti possono permetterselo tutto in una volta. In che modo le piccole imprese dovrebbero iniziare il viaggio verso la sicurezza delle applicazioni web?

Diamo un'occhiata alle tue opzioni e ai motivi per cui DAST è un chiaro vincitore come punto di partenza per la sicurezza delle applicazioni web.

Opzioni di protezione delle applicazioni Web

Molti produttori di software per la sicurezza web pubblicizzano i propri prodotti come l'unica cosa necessaria per proteggere i siti Web e le applicazioni Web. Questo ovviamente non è vero, e qui ci sono alcuni dei motivi principali per cui:

  • Web application firewall (WAF): sono pubblicizzati come il modo per prevenire gli attacchi web; tuttavia, possono essere aggirati dagli aggressori e non risolvono il problema (l'applicazione rimane vulnerabile). Potresti ritrovarti con un'applicazione piena di buchi dietro un muro di carta.
  • Analizzatori di composizione software (SCA): sono il modo migliore per evitare software open source vulnerabile, ma se personalizzi le applicazioni open source in qualsiasi modo o se scrivi il tuo codice, non ti aiuteranno affatto. Potresti finire per avere WordPress sicuro e la tua applicazione piena di buchi.
  • Strumenti di protezione runtime (RASP): sono pensati solo per proteggere la tua applicazione mentre è in esecuzione in produzione; fino ad allora, non hai idea se abbia delle vulnerabilità. Potresti finire per renderti conto di avere un problema mentre sei effettivamente hackerato.
  • Scanner white box ( strumenti SAST): sono pubblicizzati come in grado di trovare la maggior parte delle vulnerabilità nella tua applicazione; tuttavia, richiedono di creare l'applicazione da zero o di avere il suo codice sorgente, funzionano solo per alcuni linguaggi di programmazione e segnalano molti falsi positivi. Potresti finire per doverne acquistare cinque e il tuo WordPress sarà ancora pieno di buchi.
  • Scanner gray box ( strumenti IAST) - come gli strumenti SAST, sono pensati anche per il tuo codice, sono disponibili solo per alcuni linguaggi di programmazione e, nella maggior parte dei casi, dipendono fortemente dalle suite di test.
  • Scanner black-box (strumenti DAST): ultimo ma non meno importante, gli strumenti DAST non ti indicheranno la fonte dell'errore con la stessa efficacia di uno strumento SAST / IAST, ma sono di gran lunga la soluzione più universale ed economica.

Invece di acquistare software, puoi ovviamente assumere professionisti per eseguire analisi manuali utilizzando strumenti gratuiti oppure esternalizzare la tua sicurezza web. Tuttavia, in entrambi i casi, l'efficienza nel trovare le vulnerabilità ed eliminarle il prima possibile ne risentirà notevolmente. Sebbene il penetration test manuale trovi più di qualsiasi strumento automatizzato, richiede molto tempo ed è molto più costoso di un software ben selezionato.

Ecco perché riteniamo che la tua migliore opzione sia prima utilizzare uno strumento DAST professionale e solo successivamente espandere il tuo set di strumenti.

Motivo 1. Gli strumenti DAST sono universali

Vuoi verificare la sicurezza della tua applicazione? O un'applicazione di terze parti acquistata da un'altra azienda? O un'applicazione gratuita scaricata da Internet? Vuoi controllare l'applicazione appena prima che vada in produzione? O preferisci controllarlo mentre viene sviluppato?

Da qualunque parte provenga la tua applicazione, qualunque sia la lingua in cui è scritta e in qualunque fase di sviluppo risieda attualmente (purché possa essere eseguita), uno strumento DAST ti consentirà di verificarne le vulnerabilità. Questo lo rende lo strumento più universale sul mercato. Tutto ciò di cui ha bisogno è che la tua applicazione web sia accessibile tramite un browser.

Nessun altro strumento può nemmeno iniziare a confrontare in termini di quanto siano universali. Gli strumenti WAF e RASP funzionano solo in produzione. Gli strumenti SCA funzionano solo con software open source. Gli strumenti SAST funzionano solo se si dispone del codice sorgente. Gli strumenti IAST funzionano solo per alcune lingue.

Pertanto, se stai cercando uno strumento che puoi utilizzare in qualsiasi contesto, indipendentemente dallo sviluppo della tua azienda, DAST è la strada da percorrere. Se inizi con un'applicazione di terze parti e poi passi allo sviluppo interno, DAST sarà ancora disponibile. Se inizi con la scansione durante lo staging e poi desideri implementare DevSecOps , DAST sarà ancora lì.

Un investimento in DAST non ti legherà mai a nessun tipo di tecnologia o organizzazione aziendale interna. Non otterrai quel tipo di ritorno sull'investimento con nessun'altra soluzione.

Banner

Motivo 2. Gli strumenti DAST sono i più accurati

Per proteggere i tuoi siti web e le tue applicazioni web, devi assicurarti che siano tutti protetti e che ogni parte di essi sia sicura. Quindi, è necessario eliminare le vulnerabilità rilevate.

Questa è un'altra area in cui gli strumenti DAST brillano. Non si limitano a controllare il codice dell'applicazione web. Esaminano anche l'ambiente in cui viene eseguita l'applicazione web. Ad esempio, uno strumento DAST non solo ti aiuterà a individuare una vulnerabilità nell'applicazione stessa ma anche nella configurazione del server web. Ti dirà anche se stai usando una password debole. Ancora una volta, nessun altro strumento può fare tutto ciò allo stesso tempo.

Potresti aver sentito miti secondo cui gli strumenti DAST hanno problemi con le applicazioni autenticate, ma semplicemente non è vero a meno che tu non stia utilizzando soluzioni amatoriali. Quando parliamo di strumenti DAST, parliamo di strumenti come Acunetix, che sono stati sviluppati da zero da aziende dedite alla sicurezza web.

Esiste, tuttavia, un grande vantaggio quando si utilizzano gli strumenti SAST e IAST. Semplificano la riparazione perché possono indicare un errore nel codice sorgente. 

Motivo 3. Gli strumenti DAST sono i più convenienti

L'investimento in uno strumento DAST professionale può sembrare importante per una piccola impresa, ma si ripaga rapidamente perché è possibile mantenere un livello ragionevolmente alto di sicurezza delle applicazioni Web con una sola soluzione. D'altra parte, se investi in un diverso tipo di strumento, ottieni molto meno valore per i soldi e sei costretto a reinvestire ogni volta che la tua attività subisce cambiamenti.

Se pensi che esternalizzare la tua sicurezza sarà più conveniente, potresti avere una spiacevole sorpresa. Sebbene sia utile migliorare la tua sicurezza assumendo terze parti per eseguire controlli di sicurezza, non ti danno assolutamente alcuna informazione sulla tua posizione di sicurezza quotidiana. Probabilmente non ti sentiresti al sicuro eseguendo una scansione antivirus ogni sei mesi, quindi perché sarebbe accettabile fare lo stesso per le tue applicazioni web business-critical?

Un altro vantaggio in termini di denaro delle soluzioni DAST è la mancanza di costi nascosti. Nel caso di molte altre soluzioni, finisci per affrontare spese aggiuntive dovute alla necessità di assumere esperti o formare i tuoi team. 

Conclusione:

Se ti senti convinto che DAST sia il modo migliore per iniziare il tuo viaggio verso la sicurezza delle applicazioni web, potresti ancora sentirti confuso su quale prodotto sia l'opzione migliore.

Fortunatamente, ci sono meno di dieci strumenti DAST professionali sul mercato, quindi non c'è molta scelta. Solo alcuni di questi prodotti sono stati sviluppati da esperti di sicurezza delle applicazioni Web, altri sono solo componenti aggiuntivi per gli scanner di rete. Solo alcuni di questi prodotti vengono attivamente sviluppati e migliorati con le tecnologie più recenti. Solo pochi di questi prodotti si concentrano sulla facilità d'uso e sull'economicità della scansione.

 


Articoli su Sicurezza

Cos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàCome eseguire il benchmark di uno scanner di vulnerabilità Web?5 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft