Pasiūlymas išbandyti nemokamai
Automatinį pažeidžiamumų įvertinimo įrankį
Kas yra atakos vektorius?
Tai yra būdas padaryti neigiamą poveikį IT sistemai. Tai gali būti, bet kokia veika, kuri galėtų tiesiogiai ar netiesiogiai pažeisti konkrečios IT sistemos konfidencialumą, integralumą ir pasiekiamumą. Dalinames septyniais pavojingiausiais informacinių sistemų atakos vektoriais.
Kas yra DAST?
Dinaminis aplikacijų saugumo testavimas (DAST, angl. Dynamic Application Security Testing) yra „juodosios dėžės“ (black-box) testavimo metodas, kuris vertina programą jos veikimo būsenoje. DAST nustato pažeidžiamumus, sąveikaudamas su programa, siųsdamas įvairius įvesties duomenis bei stebėdamas išvesties rezultatus ir programos elgseną, taip atskleisdamas saugumo trūkumus, kurie pastebimi tik aktyvaus naudojimo metu.
Pagrindinė DAST funkcionalumo dalis – automatizuotas testavimas, siekiant aptikti plačią spektrą dažniausiai pasitaikančių pažeidžiamumų, įskaitant ir tuos, kurie yra išvardyti OWASP Top 10 sąraše. Tarp svarbiausių pažeidžiamumų yra SQL injekcijos bei tarpusavio svetainių skriptų (XSS) atakos. Šie įrankiai puikiai nustato kritines saugumo grėsmes, galinčias pakenkti API. DAST lengvai integruojamas į programinės įrangos kūrimo gyvavimo ciklą (SDLC, angl. Software Development Lifecycle), ypač DevOps procesuose ir nuolatinės integracijos bei diegimo (CI/CD) aplinkose. Įtraukus šį testavimo metodą tiesiogiai į SDLC, kūrėjai gali turėti nuoseklų ir nuolatinį saugumo vertinimo procesą, kuris vykdomas automatiškai.
Be pažeidžiamumų aptikimo, DAST įrankiai taip pat pateikia išsamius pranešimus ir veiksmingas rekomendacijas. Šie realaus laiko atsiliepimai yra itin svarbūs API kūrėjams, rašantiems kodą. Testų rezultatai suteikia būtiną informaciją kūrėjams, kad jie galėtų efektyviai išspręsti identifikuotus saugumo klausimus. DAST ataskaitų įžvalgos padeda ne tik vykdyti greitus problemų šalinimo veiksmus, bet ir kurti ilgalaikes strategijas, skirtas stiprinti įmonės API saugumą.
Tikslas ir uždaviniai
Imituojant realų scenarijų nustatyti objekto pažeidžiamas vietas, kurios gali kelti grėsmę asmens duomenų saugumui.
Įdentifikuoti spragas, kurios piktavaliui suteiktų galimybę:
- apeiti saugumo priemones;
- leistu užvaldyti programinę įrangą ar tarnybines stotis, kuriuose ji ir asmens duomenis yra talpinami;
- prieiga prie administratoriaus ar naudotojų paskyrų.
Metodika
Saugumo patikrinimas atliekamas pagal viešai žinomus ir pripažintus būdus ir metodikas DAST ir OWASP Top 10, kurios yra skirtomos į du testavimo etapus: automatinis ir rankinis.
Rezultatas
Paruošiama aptiktų grėsmių sistemai įvertinimo ataskaita ir rekomendacijomis joms taisyti, organizuojamas susitikimas su užsakovu, kurio metu gyvai ar nuotoliniu būdu bus pristatoma ir atsakoma į klausimus.
Pasiūlymas
Paslaugos kainą priklauso nuo apimties trukmės ir etapų.
Automatinis testavimas
Pažeidžiamumų įvertinimas yra atliekamas automatinių skenavimo įrankiu Acunetix, tikrinami nesaugūs sistemos komponentai ir konfigūracijos.
Rankinis testavimas
Įsibrovimo testavimas atliekamas rankiniu būdu, siekiama patvirtinti arba paneigti rezultatus, atrastus automatinio pažeidžiamumo vertinimo metu, bei pratęsti testavimą, kuri automatinis įrankis patikrinti negali.