Netsparker ha agregado un componente de prueba interactivo a su motor de prueba de seguridad de aplicaciones dinámicas para crear una combinación DAST + IAST revolucionaria. Este artículo presenta el enfoque de Netsparker para IAST y anuncia un documento técnico que destaca sus beneficios.
Presentamos True Interactive AST
Las pruebas de seguridad de aplicaciones interactivas (IAST) es un término general que se aplica a muchos enfoques de pruebas de seguridad diferentes que cierran la brecha entre el análisis de código fuente (SAST) y las pruebas dinámicas (DAST). En general, todas las herramientas de IAST se adjuntan a una aplicación en ejecución para monitorear la ejecución del código y detectar operaciones y comportamientos inseguros. La diferencia fundamental radica en la forma en que se controlan, y aquí es donde se destaca el enfoque True IAST de Netsparker.
Poner la «I» en IAST: Netsparker Shark
La mayoría de las herramientas de prueba de seguridad en tiempo de ejecución que están etiquetadas como IAST deben iniciarse por separado desde un conjunto de pruebas o escáner de vulnerabilidades, con poca o ninguna interacción entre el iniciador y el componente IAST durante la prueba. Netsparker introduce pruebas de seguridad verdaderamente interactivas al integrar un módulo IAST adicional, llamado Netsparker Shark, en su solución DAST líder en la industria. El motor de análisis central se comunica continuamente con el componente de prueba interactivo para guiar su ejecución y obtener información más detallada sobre cómo reacciona la aplicación a las cargas útiles de prueba.
Cuando está habilitado, el módulo Shark se conecta al tiempo de ejecución de la aplicación sin necesidad de acceder al código o modificarlo. Al monitorear la ejecución del código durante las pruebas de seguridad dinámica, Shark proporciona al motor de escaneo central información de tiempo de ejecución que es inaccesible con DAST solo, y todo con una sobrecarga de rendimiento mínima. True IAST con Netsparker Shark está disponible actualmente para aplicaciones PHP, Java y .NET, con más tecnologías en desarrollo.
La verdadera diferencia de IAST
El módulo IAST de Netsparker trabaja de la mano con el motor de análisis, por lo que amplía los resultados de las pruebas de vulnerabilidad obtenidos con Proof-Based Scanning ™ al aislar la fuente del problema, a menudo hasta el número de línea específico. También proporciona cargas útiles de confirmación y ataque adicionales para las vulnerabilidades detectadas y devuelve información privilegiada sobre los activos locales y la seguridad del entorno de la aplicación local. Toda esta inteligencia se incorpora automáticamente a los resultados del análisis para proporcionar a los ingenieros y desarrolladores de seguridad informes de vulnerabilidad detallados y procesables para una gama más amplia de problemas.
Los beneficios de True IAST: anuncio del libro blanco de Netsparker
Netsparker Shark es fácil de implementar y desbloquea una serie de beneficios en toda la organización, comenzando con una seguridad de aplicaciones mejorada y flujos de trabajo de seguridad de aplicaciones web más escalables. El informe técnico de Netsparker Cambiando el juego de DAST con Netsparker IAST proporciona más información sobre las ventajas del enfoque True IAST, incluida una resolución de problemas más rápida, mejores relaciones de trabajo entre equipos, un menor tiempo de generación de valor y ahorros de costos medibles. La introducción de IAST de Netsparker en el modelo de seguridad empresarial ayuda a las organizaciones a crear un programa de seguridad de aplicaciones escalable a través de una automatización eficiente y segura.
Lea el documento técnico completo: Cambiando el juego DAST con Netsparker IAST
