Mitä on IAST (Interaktiivinen sovellusturvatestaus)?

Interaktiivinen sovellusturvatestaus (IAST) on menetelmä, joka yhdistää SAST:n (Staattinen sovellusturvatestaus) ja DAST:n (Dynaaminen sovellusturvatestaus) löytääkseen sovellusten haavoittuvuudet tehokkaammin.

IAST:n ominaisuuksiin kuuluu:

• IAST-työkalut toimivat lisäämällä sensoreita tai valvontakomponentteja sovelluksen sisälle sen suorittamisen aikana. Nämä työkalut tarkkailevat, miten sovellus käyttäytyy testauksen aikana, olipa testaus automatisoitua tai ihmisten tekemää. Tämä lähestymistapa antaa IAST:lle mahdollisuuden tarkistaa koodin suoritus, käyttäjän syötteet ja miten sovellus käsittelee dataa reaaliajassa.
• IAST ei skannaa koko koodipohjaa automaattisesti; sen kattavuus määräytyy testauksen aikana käytetyn sovelluksen laajuuden mukaan. Mitä laajempi testitoiminta, sitä syvempi haavoittuvuuksien kattavuus.
• IAST otetaan tyypillisesti käyttöön QA- tai staging-ympäristöissä, joissa suoritetaan automatisoituja tai manuaalisia toiminnallisia testejä.

Miksi IAST on tärkeä kyberturvallisuudessa

SAST analysoi lähdekoodia, tavukoodia tai binäärejä suorittamatta sovellusta ja on erittäin tehokas koodausvirheiden paljastamisessa, mutta se voi tuottaa vääriä positiivisia tuloksia ja ohittaa ajonaikaiset erityiset ongelmat.

DAST testaa sovelluksia ulkopuolelta niiden suorittamisen aikana ja voi paljastaa ongelmia, jotka ilmenevät vain ajonaikana, mutta sillä ei ole syvällistä näkyvyyttä sisäiseen logiikkaan tai koodirakenteeseen. IAST yhdistää näiden tekniikoiden vahvuudet tarjoamalla:

• Syvällisempää tietoa haavoittuvuuksien lähteistä ja poluista.
• Parannettua havaitsemistarkkuutta verrattuna pelkkään SAST:iin tai DAST:iin.
• Vähentää vääriä positiivisia tuloksia yhdistämällä ajonaikaista toimintaa koodianalyysiin.

Kuinka IAST toimii

• Instrumentointi: IAST käyttää instrumentointia, mikä tarkoittaa, että anturit tai seurantakoodi upotetaan sovellukseen (usein QA- tai staging-ympäristössä) sen käyttäytymisen tarkkailemiseksi testauksen aikana.
• Seuranta: Se tarkkailee tietovirtaa, käyttäjän syötettä ja koodin käyttäytymistä reaaliajassa, kun sovellusta testataan tai käytetään manuaalisesti.
• Havaitseminen: Se merkitsee haavoittuvuuksia, kuten turvattomia konfiguraatioita, puhdistamattomia tietovirtoja tai injektioriskejä.
• Raportointi: Kehittäjille annetaan toiminnallisia havaintoja ja korjausohjeita havaittujen ongelmien ratkaisemiseksi.

Esimerkki

Toiminnallisen testauksen aikana QA-tiimi käyttää kirjautumislomaketta. IAST-työkalu havaitsee, että käyttäjän syöte kulkee tietokantakyselyyn ilman puhdistusta, mikä viittaa mahdolliseen SQL-injektioriskiin. Tiimi saa haavoittuvuusraportin ja toiminnallisia ohjeita turvallisuusongelmien korjaamiseksi.

Liittyvät termit

• SAST (Staattinen sovellusten tietoturvatestaus)
• DAST (Dynaaminen sovellusten tietoturvatestaus)
• SCA (Ohjelmiston koostumusanalyysi)
• Sovellusten tietoturvatestaus
• ASPM (Sovellusten tietoturvan asennon hallinta)