El fuzzing de caja negra y las pruebas dinámicas de seguridad de aplicaciones (DAST) pueden tener muchas características similares, pero existen algunos diferenciadores. Los fuzzers de caja negra son un tipo de DAST y una parte importante del proceso continuo de pruebas de ciberseguridad. Junto con las pruebas de seguridad de aplicaciones estáticas (SAST) begin/solutions/dast/ning del desarrollo, las pruebas de seguridad de aplicaciones dinámicas en la mitad del desarrollo, el fuzzing de caja negra encaja al final para garantizar que no haya debilidades en el código antes de la implementación de la aplicación.
Fuzzing es una técnica de prueba de código que utiliza la inyección automatizada de datos de código parciales o con formato incorrecto en una aplicación para encontrar errores de implementación. ¿Qué diferencia a los fuzzers de caja negra? Por un lado, no tienen acceso al código fuente del programa original, por lo que las inyecciones automáticas de código deben realizarse desde fuera de la aplicación, de la misma manera que un actor malicioso intentaría ingresar.
¿Quién necesita Black Box Fuzzing?
Dado que el fuzzing de caja negra emula cómo un ciberdelincuente bombardea su aplicación o programa para forzar una falla y encontrar debilidades, se podría argumentar que cualquier aplicación de software se beneficiará del fuzzing de caja negra.
Existen muchos casos de uso en la industria para el black box fuzzing. La infraestructura crítica, como la energía, el agua, el transporte, la distribución de alimentos y las comunicaciones, así como la atención médica, la automoción y más, son objetivos de ataque con consecuencias devastadoras, en caso de ser secuestrados. La industria de la aviación y las industrias de fabricación de vehículos automotrices están bajo estricto cumplimiento, especialmente porque cada vez más vehículos tienen aplicaciones de conectividad a Internet instaladas, por lo que es pertinente tener un fuzzer de caja negra para evitar que cualquier aplicación se apodere de esos vehículos.
Los dispositivos médicos conectados de forma inalámbrica y a Internet también deben protegerse. Los dispositivos sanitarios conectados, especialmente aquellos que utilizan bluetooth, necesitan un fuzzer de caja negra para ayudar a prevenir infracciones y control remoto.
El Internet de las cosas (IoT) o cualquier dispositivo que se conecte a Internet (ya sea un termostato doméstico, redes domésticas o de oficina, o cualquier elemento de uso personal o profesional con capacidad de Internet) debe probarse para asegurarse de que no pueda ser cooptado. Si una industria produce o utiliza dispositivos conectados a Internet, el fuzzing de caja negra es una necesidad. Los equipos de seguridad deben estar capacitados para utilizar pruebas que imiten los métodos de un ciberatacante para que puedan garantizar la solidez de la seguridad de su software.
BeSTORM (DAST)
La solución DAST de BeSTORM va un paso más allá, con una herramienta fuzzer de caja negra. Junto con las pruebas dinámicas de seguridad de aplicaciones, que realizan pruebas exhaustivas y calculadas, Black Box Fuzzer ataca su seguridad de la misma manera que lo haría un ciberdelincuente.
¿Cómo se relaciona Black Box Fuzzing con las pruebas dinámicas de seguridad de aplicaciones (DAST)?
Las pruebas dinámicas de seguridad de aplicaciones analizan las aplicaciones mientras están en funcionamiento para encontrar vulnerabilidades existentes y explotables. DAST monitorea este código en ejecución y cómo interactúan la aplicación y el cliente para encontrar estas vulnerabilidades.
El fuzzing de caja negra no se utiliza para encontrar vulnerabilidades específicas, sino para identificar condiciones que crean excepciones dentro del código y bloquean la aplicación o el sistema objetivo. En otras palabras, se utiliza para encontrar vulnerabilidades desconocidas y no descubiertas. Esto va más allá del aspecto de monitoreo y generación de informes de DAST e intenta activamente ingresar al producto y explotar desencadenantes desconocidos dentro de él.
¿Cuándo utilizar un Fuzzer de Caja Negra?
La fuzzing de caja negra es crucial en las primeras etapas del desarrollo. El momento más importante para utilizar un fuzzer de caja negra es después de desarrollar el producto pero antes de implementarlo. Este paso garantiza que el producto sea seguro para el uso de los clientes y, si se detecta alguna debilidad de seguridad, todavía hay tiempo para volver a la fase de desarrollo y remediarla antes de que se lance el producto. Este paso se puede repetir hasta que el producto cumpla con los estándares de seguridad. Una vez que se lanza el producto, aún se puede utilizar la fuzzing de caja negra para verificar continuamente si hay problemas de seguridad adicionales.
Las herramientas de fuzzer de caja negra funcionan bien con sistemas de entrada de aplicaciones más grandes, estructurados, más lentos y complicados. Los momentos apropiados para implementar la fuzzing de caja negra serían cuando el software de la aplicación es grande, lo que puede tomar un tiempo más lento, sin automatización, para generar la cantidad de combinaciones de ataques de entrada. Además, si la aplicación tiene formatos de entrada complicados y bien estructurados, puede requerir combinaciones de inyección diferentes y más complejas.
¿Qué hace que un Black Box Fuzzer sea especial?
Garantía de cumplimiento
Varias industrias ya requieren DAST para lograr el cumplimiento y pronto lo seguirán otras verticales. El uso de DAST con fuzzing de caja negra para escaneo de IoT, automoción, medicina, aviación e infraestructura ayuda a su organización a cumplir con estándares de cumplimiento estrictamente regulados. Los fuzzers que generan informes detallados de hallazgos repetibles pueden crear la información requerida por los auditores para demostrar el cumplimiento y cumplir con los estándares regulatorios.
Verifique de manera eficiente numerosos protocolos
Con una infinidad de usos para el fuzzing de caja negra, desde la evaluación de aplicaciones web hasta la prueba de dispositivos personalizados, un fuzzer debe ser lo suficientemente flexible para comunicarse a través de numerosos protocolos. Tener el fuzzer de caja negra adecuado que pueda evaluar las necesidades de su protocolo específico o utilizar módulos de prueba de protocolos prediseñados simplificará los cambios de código necesarios durante la fase de prueba del ciclo de vida de desarrollo de software (SDLC). También validará sistemáticamente el desarrollo seguro de la aplicación.
Control de calidad integral antes del lanzamiento
Si una empresa lanza un producto que se puede explotar fácilmente, probablemente no permanecerá en el negocio por mucho tiempo. El daño a la confianza del cliente puede ser insuperable y el costo de corregir una vulnerabilidad en una aplicación que ya está implementada es enorme. Es esencial que su código esté debidamente protegido antes de salir por la puerta.
Pruebas rápidas y automatizadas
Las limitaciones de tiempo pueden provocar que las pruebas de seguridad tradicionales se apresuren, lo que hace necesarias herramientas de prueba eficientes. Cuando las pruebas requieren demasiado tiempo, es probable que se interrumpan y las pruebas incompletas dejen atrás amenazas, listas para ser explotadas. Las pruebas automatizadas acortan el tiempo de prueba sin necesidad de intervención manual. Puede automatizar los análisis durante el desarrollo y realizar un seguimiento después de la implementación.
«BeSTORM el primer BlackBox Fuzzing»
Una herramienta de prueba dinámica de seguridad de aplicaciones (DAST) debería probar automáticamente millones, incluso miles de millones, de combinaciones de ataques. Esto ayuda a garantizar la seguridad de los productos antes de su lanzamiento, lo que le ahorra tiempo y costosas correcciones de seguridad posteriores. La solución DAST de BeSTORM va un paso más allá, con una herramienta fuzzer de caja negra . Junto con las pruebas dinámicas de seguridad de aplicaciones , que realizan pruebas exhaustivas y calculadas, Black Box Fuzzer ataca su seguridad de la misma manera que lo haría un ciberdelincuente.
BeSTORM (DAST)
La solución DAST de BeSTORM va un paso más allá, con una herramienta fuzzer de caja negra. Junto con las pruebas dinámicas de seguridad de aplicaciones, que realizan pruebas exhaustivas y calculadas, Black Box Fuzzer ataca su seguridad de la misma manera que lo haría un ciberdelincuente.
Conocer..
Fuzzers tontos versus Fuzzers inteligentes
Al contrario de lo que sugiere el nombre, los fuzzers “tontos” no son exactamente eso. Se implementan sin ningún conocimiento sobre el programa de aplicación de destino. Automáticamente inyectan información en el punto de entrada del programa y mantienen un registro si la aplicación falla. Estos fuzzers no tienen acceso a claves especiales, nombres de usuario ni directorios internos.
Los fuzzers inteligentes siguen las orientaciones proporcionadas en el programa de pruebas. Esta guía permite una mayor funcionalidad en la aplicación y una prueba de aplicación más profunda. Estas herramientas fuzzer tienen más acceso a los algoritmos del programa y les brindan más alcance para profundizar en la aplicación y descubrir errores del programa.
¿Qué es un Protocol Fuzzer y cómo se relaciona con el Black Box Fuzzing?
La prueba de confusión de protocolos prueba los protocolos de aplicaciones de red y los formatos de archivo de bajo nivel. Este fuzzer cambia el protocolo de comunicación válido para intentar encontrar errores en él. Por ejemplo, si hay un límite de caracteres, un fuzzer de protocolo ingresará demasiados o muy pocos caracteres para ver cómo reacciona la aplicación.
Los fuzzers de caja negra inyectan automáticamente millones de tipos diferentes de codificación aleatoria en las aplicaciones, imitando los ataques abrumadores que un cibercriminal usaría para intentar romper la aplicación. Estos ataques van más allá de los intentos de protocolo y utilizan más una estrategia de bombardeo de código.
¿Qué necesito saber para evaluar las herramientas de fuzzing?
Primero, debe comprender si el fuzzer de caja negra funcionará con sus módulos de prueba de protocolo actuales y si se puede personalizar según los propios. Esto es importante porque si la herramienta de fuzzing no puede funcionar con su producto, no podrá buscar debilidades de manera segura.
Los fuzzers de caja negra pueden estar basados en la nube para facilitar su uso o en el sitio para que su personal los supervise. Definitivamente, la nube es una buena opción porque las pruebas se pueden realizar desde cualquier lugar, no necesariamente desde un centro de pruebas dedicado.
Otra gran característica, el autoaprendizaje y la inteligencia. Las pruebas de fuzz de caja negra no deben limitarse a un régimen, deben adaptarse como lo haría un atacante y cambiar continuamente las combinaciones de ataque, especialmente si la aplicación está actualizada.
Además, la escalabilidad y la personalización son cruciales, ya que las empresas, sus productos e infraestructura cambian constantemente. Un fuzzer de caja negra debería tener la capacidad de adaptarse a medida que una empresa y sus productos evolucionan y crecen.
BeSTORM es uno de los Fuzzers DAST y Black Box más completos disponibles y ofrece garantía de calidad de principio a fin.
Si te ha gustado, ¡compártelo con tus amigos!
