Статья Автоматизация или ручное сканирование безопасности компаний: все плюсы и минусы

Здравствуйте, господа, сегодня рассмотрим все плюсы и минусы автоматизации и ручного сканирования безопасности компаний, чтобы не затягивать, давайте рассмотрим план:
  • Риск удаленной работы для компаний.
  • Виды тестирования и защиты.
  • Использование приложений для защиты.​
  • Регистрация.
  • Установка.
  • Итог.

ИБ в интернете

В результате пандемии COVID-19 большинство компаний работают удаленно. «Новый стандарт» привел к росту спроса на цифровые преобразования и миграцию облачных сервисов. В отчетах за 2020 о нарушениях защиты информации отмечалось, что кибератакеры используют преимущества цифровых преобразований, находя новые способы поражения веб-приложений. В условиях глобальной пандемии увеличивается риск ведения удаленной работы, а защита данных на пути от облака до ноутбука сотрудника становится первостепенной.

демоверсия приложения.jpg

Демоверсия приложений

Как преобразовать бизнес в цифровой, поддерживая безопасность приложений? Необходимо применять ручное тестирование на предмет проникновения (MPT) вместе с автоматизацией. Использование ручного тестирования на проникновение (MPT) есть очень дорогостоящим и трудоемким, но, если вы используете только автоматическое сканирование - можно допустить ошибки с авторизацией.

Ручное тестирование

MPT проводится человеком, известным, как «pen tester.». Ручной тестер использует инструменты безопасности и их оценку, чтобы выявить уязвимости в приложениях и их последствия. MPT важен для глубокой проверки приложений, поскольку он обнаруживает все классы уязвимостей, которые не определяются автоматически.

ручное тестирование.jpg

Области защиты и типы проверки

Тем не менее, такой способ не единственная защита, используемая для приложений. Он плохо интегрируется и не удовлетворяет все потребности разработчиков, а также не является экономически эффективным.

Плюсы ручного тестирования:
  • человеческое понимание рычагов влияния бизнес логики;
  • нахождение любых типов уязвимостей;
  • использует инструменты для анализа, обеспечивая фиксацию в момент нарушения безопасности.
Минусы:
  • не всегда интегрируется в процесс разработки;
  • существуют более мощные модели тестирования на проникновение с меньшим сроком отклика;
  • замедляет работу программ, долго определяя результаты.
Задержка во времени получения данных варьируется в зависимости от типа теста и программы. Это минус приложения, при котором оно видит разные уязвимости и использует разные подходы для их устранения. Иногда между тестированием проблем безопасности возникают слишком затратные процессы в плане трафика в зависимости от портфеля приложений.

Автоматизация процессов защиты

Appsec Automation - это программная интеграция автоматического сканирования безопасности Devops, уменьшающая риск для компаний с развитой практикой управления. Автоматизация безопасности необходима для масштабирования, скорости работы и интеграции приложений. Компании, которые полагаются исключительно на MPT, имеют минимальные шансы достичь положительных результатов и снизить риск взлома, чем те, что используют автоматическое непрерывное сканирование.

Плюсы автоматизации:
  • быстрая обратная связь по безопасности в IDE;
  • рекомендации экспертов вместе с выводами;
  • автоматическое исправление ошибок;
  • проверка кода совместно с экспертами по безопасному кодированию;
  • электронное обучение для разработчиков.
Минусы:
  • сканирует только то, что знает алгоритм программы;
  • не заменяет ручное сканирование и креативность профессионального тестировщика;
  • не считается независимой аттестацией, если проводится с помощью локального инструмента.
Сводное представление в пользовательском интерфейсе рабочего стола.jpg

Результаты тестирования

Оба инструмента требуются для защиты, но с учетом потребностей пользователей. MPT лучше всего подходит для оценки на момент применения критически важных для бизнеса приложений, в которых учитываются соображения бизнес-логики. Автоматизированный процесс создает масштабируемую программу, которая измеряет и демонстрирует снижение риска со временем. Это согласуется с процессом разработки, который дает время привлечь специалистов к принятию мер по безопасности.

Veracode фокусируется на исправлениях, а не только на поиске, что приводит к уменьшению средней скорости работы на 70%. Но можно расставить приоритеты с рекомендациями «исправить в первую очередь» и получить доступ к автоматическим советам, сообществу Veracode и специалистам, проверяющим коды безопасности, сокращая среднее время исправления с 2,5 часов до 15 минут.

Это инновационная и многообещающая программа защиты с небольшими рисками.

Пользователи в процессе применения сталкиваются с проблемами:
  • алгоритмы сложны для быстрого управления и масштабирования;
  • не устраняет проблемы безопасности конкретной компании;
  • не хватает пропускной способности шлюза для управления программами DEVSECOPS через облако.
Veracode интегрируется с инструментами, которые компании уже используют, чтобы получать автоматическую обратную связь по безопасности прямо в процессе проверки систем. Благодаря всеобъемлющему опыту, разработчики приложения раньше выявляют и исправляют недостатки, приближают безопасность к оптимальной и снижают затраты на устранение пробелов в системе безопасности. Veracode упрощает использование программы, объединяя пять типов анализа защиты приложений в одном решении, все из которых интегрированы в конвейер.

ПО и поддержка Veracode

Обладая самой большой доступной базой данных об уязвимостях, включая нераскрытые уязвимости, полученные из технологий интеллектуального анализа данных и машинного обучения, Veracode Software Analysis опережает уязвимости в открытом исходном коде. Большинство пользователей забывают, что есть только одна команда, которая может полностью исправить проблемы безопасности - команда разработчиков. Veracode предоставляет с разработчиками обратную связь по безопасности в IDE за считанные секунды, когда они пишут код, помогая им в работе.

Двусторонняя интеграция:
  • IBM Qradar;
  • HPE ArcSight;
  • PT MaxPatrol SIEM;
  • Splunk.
Односторонняя интеграция:
  • RSA SA;
  • McAfee ESM.
Интенсивный и динамический анализ

Veracode Interactive Analysis использует действия по тестированию, которые уже созданы командами разработчиков, для предоставления точных результатов с нулевым ложным срабатыванием, гарантируя высококачественное и безопасное приложение. Veracode Dynamic Analysis сканирует веб-приложения в стадии подготовки или производства, совмещая глубину охвата с непревзойденной возможностью маштабирования, скоростью сканирования и точностью.

Теги классификации уязвимостей.jpg

Теги классификации уязвимостей

Расширение VS Code имеет мощную функцию одношагового исправления, которая использует метаданные сканирования о том, как была обнаружена уязвимость, и всю информацию, необходимую для ее локального воспроизведения. Нет необходимости повторять многочасовое сканирование, чтобы проверить исправление или определить ложноположительный результат. Расширение повторяет шаги, необходимые для изоляции взаимодействий браузера, включая вход в систему, чтобы разузнать уязвимую область приложения и проверить результат. Данные HTTP и браузера из исходного сканирования можно импортировать в расширение, где URL-адреса и информация о конечных точках преобразуются в локально исполняемую изолированную программную среду.

Регистрация

Приложения встроены в расширение кода VS, где пользователь предоставляет учетные данные для автоматического входа и проверяет его работоспособность. Испытание так же просто, как наблюдение за контроллером браузера без диска Chrome, чтобы получить вход в систему с начальной точки, достаточно только учетных данных. Если автоматический вход не может рассчитать успешный путь входа в систему, то пользователь может записать путь.

Пользователь также может указать расширенную конфигурацию и/или использовать предварительно записанные рабочие процессы или те, которые автоматически генерируются при тестовом сканировании. Как желаемая конфигурация готова для обеспечения хорошего сканирования, данные загружаются на главный управляющий узел, чтобы их можно было использовать при запланированном, инициированном или инициированном вручную сканировании в кластере узлов.

Установка на ПК

Модель лицензирования преднамеренно проста и предназначена для того, чтобы устранить трения при развертывании и раскрыть тайну: «сколько лицензий мне нужно?» Главный контроллер является единственным средством обеспечения того, сколько сканирования может выполняться параллельно.

Если вы обнаружите, что нужна большая емкость для тестовой нагрузки, можете приобрести дополнительное количество узлов. Assert предоставит данные, необходимые для простого изменения настроек главного узла. В рабочих узлах делать нечего. Они запускаются, когда главный контроллер сообщает им об этом, поэтому конфигурации лицензий на этих узлах нет.

Image 4.jpg

Сводное представление в пользовательском интерфейсе рабочего стола

После скачивания лицензионного приложения, единственными трудностями, с которыми столкнется пользователь, будут:
  • запуск setup.exe и настройка компьютера, чтобы выполнить все необходимые условия;
  • загрузка и применение информации о лицензионном ключе в окно сканирования;
  • невозможность автоматизировать деактивацию и повторную активацию лицензии на другом ПО.
Итог

В приведенном анализе не девалось заключения с учетом того, что, увидев результаты, каждый сам решит, какую систему выбрать для решения задач компании. В каждом случае определение требований к технологиям или возможностям решения задач позволит сделать правильный вывод.
 
Последнее редактирование модератором:

zakrush

Well-known member
21.03.2018
81
118
BIT
0
Больше похоже на перевод, причем не очень качественный. И именно по продукту Veracod. Все как то в кучу. Где то про линтер говорится, где то про DAST, где то про SAST. Причем перевод явно рекламного проспекта. Так гладко не бывает как описано например вот тут:
Использует действия по тестированию, которые уже созданы командами разработчиков, для предоставления точных результатов с нулевым ложным срабатыванием, гарантируя высококачественное и безопасное приложение.сканирует веб-приложения в стадии подготовки или производства, совмещая глубину охвата с непревзойденной возможностью маштабирования, скоростью сканирования и точностью.
Последнее выделение это вообще постоянный баланс.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!