מהו IAST (בדיקות אבטחת יישומים אינטראקטיביות)?
בדיקות אבטחת יישומים אינטראקטיביות (IAST) הן שיטה המשלבת SAST (בדיקות אבטחת יישומים סטטיות) ו-DAST (בדיקות אבטחת יישומים דינמיות) כדי למצוא פגיעויות ביישומים בצורה יעילה יותר.
מאפייני IAST כוללים:
- כלים של IAST פועלים על ידי הוספת חיישנים או רכיבי ניטור בתוך היישום בזמן שהוא פועל. כלים אלו צופים כיצד היישום מתנהג במהלך הבדיקות, בין אם הבדיקות אוטומטיות או מבוצעות על ידי אנשים. גישה זו מאפשרת ל-IAST לבדוק ביצוע קוד, קלטי משתמש, וכיצד היישום מתמודד עם נתונים בזמן אמת.
- IAST אינו סורק את כל בסיס הקוד באופן אוטומטי; הכיסוי שלו נקבע על פי היקף היישום המופעל במהלך הבדיקות. ככל שהפעילות הבדיקה נרחבת יותר, כך הכיסוי לפגיעויות מעמיק יותר.
- IAST מופעל בדרך כלל בסביבות QA או שלב ביניים שבהן מתבצעות בדיקות פונקציונליות אוטומטיות או ידניות.
מדוע IAST חשוב באבטחת סייבר
SAST מנתח קוד מקור, קוד בינארי או בינארי ללא הפעלת היישום והוא יעיל מאוד בגילוי שגיאות קוד, אך הוא יכול לייצר חיוביים שגויים ולפספס בעיות ספציפיות לזמן ריצה.
DAST בודק יישומים מבחוץ בזמן שהם פועלים ויכול לחשוף בעיות שמופיעות רק בזמן ריצה, אך חסר לו ראייה עמוקה לתוך הלוגיקה הפנימית או מבנה הקוד. IAST מגשר על הפער על ידי שילוב היתרונות של טכניקות אלה, ומספק:
- תובנות עמוקות יותר למקורות ופני פגיעות.
- דיוק זיהוי משופר בהשוואה ל-SAST או DAST לבד.
- הפחתת חיוביים שגויים על ידי קישור פעילות זמן ריצה עם ניתוח קוד.
איך IAST עובד
- אינסטרומנטציה: IAST משתמש באינסטרומנטציה, כלומר חיישנים או קוד ניטור משולבים באפליקציה (לעיתים בסביבת QA או סטייג’ינג) כדי לצפות בהתנהגותה במהלך הבדיקה.
- ניטור: הוא צופה בזרימת נתונים, קלט משתמש והתנהגות קוד בזמן אמת כאשר האפליקציה מופעלת על ידי בדיקות או פעולות ידניות.
- זיהוי: הוא מסמן פגיעויות כמו קונפיגורציה לא בטוחה, זרימות נתונים לא מסוננות, או סיכוני הזרקה.
- דיווח: ממצאים מעשיים והנחיות לתיקון ניתנים למפתחים כדי לטפל בבעיות שהתגלו.
דוגמה
במהלך בדיקות פונקציונליות, צוות ה-QA מתקשר עם טופס ההתחברות. כלי ה-IAST מזהה שקלט המשתמש זורם לשאילתת מסד נתונים ללא סינון, מה שמצביע על סיכון פוטנציאלי להזרקת SQL. הצוות מקבל דוח פגיעות ושלבים מעשיים לתיקון בעיות האבטחה.
מונחים קשורים
- SAST (בדיקות אבטחת יישומים סטטיות)
- DAST (בדיקות אבטחת יישומים דינמיות)
- SCA (ניתוח הרכב תוכנה)
- בדיקות אבטחת יישומים
- ASPM (ניהול מצב אבטחת יישומים)