为了完全保护您的Web应用程序,您需要几个软件解决方案,专业的内部资源和外部承包商。但是,这意味着高昂的成本,并非所有人都能一次负担全部。小型企业应如何开始其Web应用程序安全性之旅?

让我们来看看您的选择以及DAST成为Web应用程序安全起点的明显优势的原因。

Web应用程序安全性选项

Web安全软件的许多制造商宣传他们的产品是保护网站和Web应用程序安全所唯一需要的。这显然是不正确的,这是其中的一些主要原因:

  • Web应用程序防火墙(WAF)–宣传它们是防止Web攻击的方法;但是,它们可能会受到攻击者的规避,并且无法解决问题(该应用程序仍然很容易受到攻击)。您可能最终会得到一个在纸壁后面满是孔的应用程序。
  • 软件组成分析器(SCA)–它们是避免易受攻击的开源软件的最佳方法,但是,如果您以任何方式自定义开源应用程序或编写自己的代码,它们将根本无法帮助您。您可能最终会拥有安全的WordPress和充满漏洞的自己的应用程序。
  • 运行时保护工具(RASP)–它们仅用于保护您的应用程序在生产环境中运行时;直到那时,您都不知道它是否有任何漏洞。您可能最终意识到自己在被黑客入侵时遇到了问题。
  • 白盒扫描仪(SAST工具)–宣传它们能够在您的应用程序中找到最多的漏洞;但是,它们要求您从头开始创建应用程序或获取其源代码,它们仅适用于某些编程语言,并且报告许多误报。您可能最终不得不购买其中的五个,而WordPress仍然充满漏洞。
  • 灰盒扫描仪(IAST工具)–与SAST工具一样,它们也用于您自己的代码,仅适用于某些编程语言,并且在大多数情况下,很大程度上依赖于测试套件。
  • 黑盒扫描仪(DAST工具)–最后但并非最不重要的一点是,DAST工具不会像SAST / IAST工具那样有效地指出错误的根源,但它们是迄今为止最通用且最具成本效益的解决方案。

当然,您可以聘请专业人员使用免费工具来执行手动分析,而不是购买软件,也可以外包网络安全。但是,在这两种情况下,发现漏洞并尽快消除漏洞的效率都会受到很大影响。尽管手动渗透测试比任何自动化工具都能找到更多的东西,但它要花费大量的时间,并且比精选的软件要昂贵得多。

这就是为什么我们认为最好的选择是首先使用专业的DAST工具,然后再扩展您的工具集。

原因1. DAST工具是通用的

您要检查自己的应用程序的安全性吗?还是从另一家公司购买了第三方应用程序?还是从Internet下载的免费应用程序?您是否要在应用程序投入生产之前对其进行检查?还是您喜欢在开发过程中检查它?

无论您的应用程序来自何处,使用何种语言编写,以及它当前处于哪个开发阶段(只要可以运行),DAST工具都可以让您检查它的漏洞。这使其成为市场上最通用的工具。它所需要的只是您的Web应用程序可通过浏览器访问。

就其通用性而言,没有其他工具可以开始进行比较。 WAF和RASP工具仅在生产中起作用。 SCA工具仅适用于开源软件。仅当您具有源代码时,SAST工具才起作用。 IAST工具仅适用于某些语言。

因此,如果您正在寻找一种可以在任何情况下使用的工具,无论您的公司如何发展,DAST都是必经之路。如果您从第三方应用程序开始,然后切换到内部开发,则DAST仍然存在。如果您在分阶段期间从扫描开始,然后想要实施 开发安全,DAST仍然会存在。

对DAST的投资永远不会将您与任何技术或公司内部组织联系在一起。使用任何其他解决方案都不会获得这种投资回报。

原因2. DAST工具最彻底

为了保护您的网站和Web应用程序,您需要确保它们和所有部分都是安全的。然后,您需要消除发现的漏洞。

这是DAST工具大放异彩的另一个领域。他们不仅检查您的Web应用程序代码。他们还研究了Web应用程序在其中运行的环境。例如,DAST工具不仅可以帮助您查明应用程序本身中的漏洞,而且还可以在Web服务器配置中查明漏洞。它甚至会告诉您是否使用了弱密码。同样,没有其他工具可以同时完成所有这些操作。

您可能听说过 DAST工具在经过身份验证的应用程序方面存在误解 但这根本不是真的,除非您使用业余解决方案。在谈论DAST工具时,我们所谈论的是诸如Acunetix之类的工具,这些工具是由致力于网络安全的公司从零开始开发的。

但是,使用SAST和IAST工具有一个主要优势。它们使补救变得更容易,因为它们可以指出源代码中的错误。幸运的是,Acunetix随附 AcuSensor,这是可选的 活跃的IAST 延期。如前所述,它仅适用于几种编程语言,但是对于这些语言,除了DAST的所有优点之外,您还可以获得额外的好处。

原因3. DAST工具最具成本效益

对小型企业而言,对专业DAST工具的投资似乎很重要,但它很快就会收到回报,因为仅使用这一解决方案,您就可以保持相当高的Web应用程序安全性。另一方面,如果您投资于另一种工具,那么您获得的金钱价值就会大大减少,并且每次您的业务经历变化时,您就不得不重新投资。

如果您认为外包安全性将更具成本效益,那么您可能会感到不快。通过雇用第三方执行安全审核确实可以提高您的安全性,但他们绝对没有提供有关您日常安全立场的信息。您可能每半年进行一次防病毒扫描可能会感到不安全,那么为什么对您的业务关键型Web应用程序执行相同的操作为什么可以接受?

DAST解决方案的另一个与金钱相关的优势是缺乏隐藏成本。对于许多其他解决方案,由于需要聘请专家或培训您的团队,最终您将面临额外的费用。 Acunetix可以由一般IT人员运行,而不必由专门的安全团队运行。 Acunetix指出的漏洞附带了足够的描述,供开发人员在无需特殊培训的情况下解决此问题。

结论:从Acunetix开始

如果您确信DAST是开始您的W​​eb应用程序安全之旅的最佳方法,那么您可能仍对哪种产品是最佳选择感到困惑。

幸运的是,市场上只有不到十种专业的DAST工具,因此没有太多选择。这些产品中只有少数是由Web应用程序安全专家开发的,其他产品只是网络扫描仪的附件。这些产品中只有极少数是通过最新技术积极开发和改进的。这些产品中只有少数产品着眼于扫描的易用性和成本效益。

Source : //www.acunetix.com/blog/web-security-zone/3-reasons-to-start-with-dast/