מהו IAST (בדיקות אבטחת יישומים אינטראקטיביות)?
בדיקות אבטחת יישומים אינטראקטיביות (IAST) הן שיטה שמשלבת בדיקות אבטחת יישומים סטטיות (SAST) ו-בדיקות אבטחת יישומים דינמיות (DAST) כדי למצוא פגיעויות ביישומים בצורה יעילה יותר.
מאפייני IAST כוללים:
- כלים של IAST פועלים על ידי הוספת חיישנים או רכיבי ניטור בתוך היישום בזמן שהוא פועל. כלים אלו עוקבים אחרי התנהגות האפליקציה במהלך הבדיקות, בין אם הבדיקות אוטומטיות או מבוצעות על ידי אנשים. גישה זו מאפשרת ל-IAST לבדוק ביצוע קוד, קלטי משתמש, ואיך האפליקציה מתמודדת עם נתונים בזמן אמת.
- IAST לא סורק את כל בסיס הקוד באופן אוטומטי; הכיסוי שלו נקבע על פי רוחב היישום המופעל במהלך הבדיקות. ככל שפעילות הבדיקה נרחבת יותר, כך הכיסוי לפגיעויות מעמיק יותר.
- IAST בדרך כלל נפרס בסביבות QA או שלבי ביניים שבהן מבוצעות בדיקות פונקציונליות אוטומטיות או ידניות.
מדוע IAST חשוב באבטחת סייבר
SAST מנתח קוד מקור, בייטקוד או בינאריים מבלי להריץ את היישום והוא יעיל מאוד בגילוי שגיאות קוד, אך הוא עלול לייצר תוצאות חיוביות שגויות ולפספס בעיות ספציפיות לזמן ריצה.
DAST בודק יישומים מבחוץ בזמן שהם פועלים ויכול לחשוף בעיות שמופיעות רק בזמן ריצה, אך חסר לו ראות עמוקה לתוך הלוגיקה הפנימית או מבנה הקוד. IAST מגשר על הפער על ידי שילוב היתרונות של טכניקות אלו, ומספק:
- תובנות עמוקות יותר למקורות ופאתים של פגיעויות.
- שיפור דיוק הגילוי בהשוואה ל-SAST או DAST לבד.
- הפחתת תוצאות חיוביות שגויות על ידי קישור פעילות זמן ריצה עם ניתוח קוד.
איך IAST עובד
- אינסטרומנטציה: IAST משתמש באינסטרומנטציה, כלומר חיישנים או קוד ניטור משולבים באפליקציה (לעיתים קרובות בסביבת QA או סטייג’ינג) כדי לצפות בהתנהגותה במהלך הבדיקה.
- ניטור: הוא צופה בזרימת הנתונים, קלט המשתמש והתנהגות הקוד בזמן אמת כאשר האפליקציה מופעלת על ידי בדיקות או פעולות ידניות.
- זיהוי: הוא מסמן פגיעויות כמו תצורה לא מאובטחת, זרימות נתונים לא מסוננות או סיכוני הזרקה.
- דיווח: ממצאים מעשיים והנחיות לתיקון מסופקים למפתחים כדי לטפל בבעיות שהתגלו.
דוגמה
במהלך בדיקות פונקציונליות, צוות ה-QA מתקשר עם טופס ההתחברות. כלי ה-IAST מזהה שקלט המשתמש זורם לשאילתת מסד נתונים ללא סינון, מה שמעיד על סיכון פוטנציאלי של הזרקת SQL. הצוות מקבל דוח פגיעות ושלבים מעשיים לתיקון בעיות האבטחה.