На практике риски безопасности не ограничиваются кодом. Хотя это и верно, статический анализ выявляет проблемы на ранних стадиях, он не может подтвердить, какие уязвимости остаются эксплуатируемыми после запуска приложения. эта причина, DAST и ASPM должны работать вместе связать поведение во время выполнения с результатами на уровне кода и определить реальную уязвимость в производственной среде.
Иными словами, без контекста выполнения команды AppSec расставляют приоритеты для уязвимостей, основываясь на предположениях, а не на доказательствах. В результате растет количество невыполненных задач, накапливаются ложные срабатывания, а критические проблемы смешиваются с малозначительными результатами. Именно здесь на помощь приходит сочетание DAST с ASPM Это меняет ситуацию, поскольку сигналы, передаваемые во время выполнения, подтверждают достижимость, уязвимость и возможность эксплуатации в реальных условиях.
Почему одного лишь DAST недостаточно
DAST имитирует реальные атаки на работающие приложения. В результате он обнаруживает проблемы, которые статические инструменты не могут выявить до развертывания.
Однако инструменты DAST обычно генерируют большой объем оповещений без достаточного контекста.
В результате команды сталкиваются со следующими проблемами:
- Списки уязвимостей в плоском формате
- Ограниченная приоритезация
- Отсутствует корреляция между кодом и зависимостями.
В противоположность, ASPM обеспечивает структуру, необходимую для интерпретации этих результатов.
DAST выявляет уязвимости во время выполнения, но без корреляции и приоритизации его результаты по-прежнему создают шум и замедляют устранение проблем.
Употребление DAST в организм ASPMОт сигналов во время выполнения до действенных мер по оценке рисков.
Чтобы устранить этот пробел, Xygeni напрямую принимает выходные данные DAST в свою систему. ASPM двигатель.
Это включает результаты, полученные с помощью таких инструментов, как... OWASP ZAP, Акунетикс 360и другие сканеры на основе XML.
После этого Xygeni сопоставляет результаты, полученные в процессе выполнения, со статическими сигналами и контекстом актива.
Что делает Xygeni
- Обрабатывает результаты DAST и интегрирует их в систему. ASPM
- Сопоставляет данные, полученные во время выполнения, с SAST, SCAи контекст конфигурации
- Обогащает информацию о проблемах метаданными, касающимися рисков и активов.
- Все полученные данные проходят через многоступенчатую воронку приоритизации.
Как видно, DAST становится одним из многих сигналов, а не изолированным выходным сигналом.
Воронка приоритезации DAST: фильтрация с учетом времени выполнения
Вместо того чтобы рассматривать все результаты одинаково, компания Xygeni применяет прогрессивный подход:
Все вопросы → Раскрытие информации в интернете → Неподтвержденная информация → Ценность для бизнеса
На каждом этапе результаты фильтруются на основе следующих критериев:
- Внешнее воздействие
- Требования аутентификации
- Доступность во время выполнения
- Релевантность для бизнеса
В результате, малозначимые или трудноразрешимые проблемы устраняются на ранней стадии.
Почему это важно для команд DevSecOps
Проверка воздействия в реальных условиях
DAST подтверждает возможность эксплуатации уязвимостей в работающих системах. Поэтому команды прекращают устранение уязвимостей, которые так и не проявляются в производственной среде.
Сигнал поверх шума
Внутренние конечные точки и аутентифицированные пути отключаются на ранних этапах. В результате, невыполнимые задачи остаются доступными, а не перегружаются.
Более быстрое и эффективное устранение последствий.
Инженеры проводят сортировку проблем на основе времени их возникновения и влияния на работу системы. Таким образом, сокращаются циклы исправления и повышается точность устранения неполадок.
Единый подход: код → выполнение → риск
Путем сопоставления статических и динамических сигналов, ASPM устраняет слепые зоны. В конечном счете, безопасностьcisИоны становятся основанными на данных и защищенными.
DAST + ASPM в средах непрерывной доставки
Современные приложения постоянно меняются. Учитывая это, безопасность...cisИоны должны отражать текущее поведение во время выполнения, а не предположения, сделанные ранее. SDLC.
Встраивая DAST внутрь ASPM:
- Безопасность соответствует реальному поведению приложений.
- DevOps поддерживает скорость выпуска релизов.
- Задолженность по обеспечению со временем уменьшается.
Короче говоря, приоритезация с учетом времени выполнения обеспечивает актуальность безопасности по мере развития систем.
Заключить
DAST показывает что может быть атаковано.
ASPM объясняет, что действительно имеет значение.
Взятые вместе, DAST и ASPM Устранить разрыв между кодом и средой выполнения, обеспечивая точную приоритизацию, снижение уровня шума и уверенное устранение проблем для современных команд DevSecOps.
