Hva er IAST (Interaktiv Applikasjonssikkerhetstesting)?

Interaktiv Applikasjonssikkerhetstesting (IAST) er en metode som kombinerer SAST (Statisk Applikasjonssikkerhetstesting) og DAST (Dynamisk Applikasjonssikkerhetstesting) for å finne applikasjonssårbarheter mer effektivt.

IAST-egenskaper inkluderer:

• IAST-verktøy fungerer ved å legge til sensorer eller overvåkingskomponenter inne i applikasjonen mens den kjører. Disse verktøyene observerer hvordan appen oppfører seg under testing, enten testene er automatiserte eller utført av mennesker. Denne tilnærmingen lar IAST sjekke kodeeksekvering, brukerinput og hvordan appen håndterer data i sanntid.
• IAST skanner ikke automatisk hele kodebasen; dekningen bestemmes av bredden av applikasjonen som testes. Jo mer omfattende testaktiviteten er, desto dypere blir dekningen av sårbarheter.
• IAST blir vanligvis implementert i QA- eller staging-miljøer hvor automatiserte eller manuelle funksjonstester kjøres.

Hvorfor IAST er viktig i cybersikkerhet

SAST analyserer kildekode, bytekode eller binærfiler uten å kjøre applikasjonen og er svært effektiv til å avdekke kodefeil, men kan produsere falske positiver og gå glipp av problemer som er spesifikke for kjøretid.

DAST tester applikasjoner utenfra mens de kjører og kan avdekke problemer som bare vises ved kjøretid, men mangler dyp innsikt i intern logikk eller kodestruktur. IAST bygger bro mellom disse teknikkene ved å kombinere styrkene deres, og gir:

• Dypere innsikt i kildene og stiene til sårbarheter.
• Forbedret deteksjonsnøyaktighet sammenlignet med SAST eller DAST alene.
• Reduksjon av falske positiver ved å korrelere aktivitet ved kjøretid med kodeanalyse.

Hvordan IAST fungerer

• Instrumentering: IAST bruker instrumentering, noe som betyr at sensorer eller overvåkingskode er innebygd i applikasjonen (ofte i et QA- eller staging-miljø) for å observere dens oppførsel under testing.
• Overvåking: Det observerer dataflyt, brukerinput og kodeoppførsel i sanntid mens applikasjonen testes eller utføres av manuelle handlinger.
• Deteksjon: Det flagger sårbarheter som usikker konfigurasjon, usanitiserte dataflyter eller injeksjonsrisiko.
• Rapportering: Handlingsrettede funn og veiledning for utbedring gis til utviklere for å adressere oppdagede problemer.

Eksempel

Under funksjonstesting interagerer QA-teamet med innloggingsskjemaet. IAST-verktøyet oppdager at brukerinput flyter inn i en databaseforespørsel uten sanitisering, noe som indikerer en potensiell SQL-injeksjonsrisiko. Teamet mottar en sårbarhetsrapport og handlingsrettede steg for å fikse sikkerhetsproblemene.

Relaterte termer

• SAST (Statisk applikasjonssikkerhetstesting)
• DAST (Dynamisk applikasjonssikkerhetstesting)
• SCA (Analyse av programvaresammensetning)
• Applikasjonssikkerhetstesting
• ASPM (Administrasjon av applikasjonssikkerhetsholdning)