Application Security Testing

Application Security Testing (AST) omvat vrijwel alle taken waarmee een veilige manier van software ontwikkeling voor ontwikkelteams wordt gerealiseerd. Het uiteindelijke doel is om de securitygesteldheid verder te verbeteren en tegelijkertijd security issues te vinden, repareren en bij voorkeur security issues in applicaties te voorkomen. De gehele applicatie ontwikkelcyclus wordt gedekt vanaf de analyse van de eisen en wensen, het ontwerp, de implementatie en verificatie tot aan de onderhoudsfase.

Security testing oplossingen zoeken naar kwetsbaarheden en gaten in applicaties. Deze kwetsbaarheden maken het voor kwaadwillenden mogelijk om misbruik te maken. Security testing komt het beste tot zijn recht als het in de gehele software ontwikkel cyclus (SDLC) is opgenomen. Hierdoor kunnen kwetsbaarheden vroegtijdig en grondig worden aangepakt.

Security testing oplossingen zoeken naar kwetsbaarheden en gaten in applicaties. Deze kwetsbaarheden maken het voor kwaadwillenden mogelijk om misbruik te maken. Security testing komt het beste tot zijn recht als het in de gehele software ontwikkel cyclus (SDLC) is opgenomen. Hierdoor kunnen kwetsbaarheden vroegtijdig en grondig worden aangepakt.

• Static Application Security Testing (SAST); analyseert broncode op kwetsbaarheden gedurende de ontwikkeling van een applicatie. Vergeleken met DAST kan SAST zelfs worden ingezet voordat de applicatie in ‘uitvoerbare’ modus verkeert. Daar SAST toegang heeft tot de volledige broncode noemen we deze aanpak de white-box aanpak. Deze aanpak zorgt voor meer gedetailleerde resultaten maar kan ook resulteren in veel false-positives die handmatig moeten worden geverifieerd.
• Dynamic Application Security Testing (DAST); detecteert kwetsbaarheden automatisch door websites te scannen en ‘crawlen’. Deze op de black-box aanpak gebaseerde scanmethode is zeer schaalbaar, eenvoudig te integreren en snel. DAST oplossingen zijn goed bruikbaar om het hoofd te bieden aan ‘low-level’ aanvallen zoals injecties maar zijn niet zo goed geschikt om ‘high-level’ fouten zoals bijvoorbeeld fouten in de logica te detecteren.
• Interactive Application Security Testing (IAST); onderzoekt applicaties van binnenuit door gebruik te maken van de software instrumentatie. Deze gray-box gebaseerde aanpak combineert de kracht van zowel SAST en DAST methodes en biedt tevens toegang tot code, HTTP verkeer, informatie over libraries, back-end connecties en informatie over configuraties. Sommige van de IAST oplossingen vereisen dat de applicatie wordt ‘aangevallen’ terwijl andere oplossingen kunnen worden ingezet tijdens normale quality assurance tests.
• Mobile Application Security Testing (MAST); in de basis worden applicaties door mobiele AST applicaties op 3 manieren getest: SAST: deze oplossingen analyseren statisch de bron, binaries of bytecode van een applicatie om mogelijke kwetsbaarheden te kunnen herkennen. Op gedrag gebaseerd testen: Mobiele AST applicaties maken gebruik van op gedrag gebaseerde analyse om het gedrag van een applicatie gedurende runtime te observeren en om acties te kunnen identificeren die door een hacker zouden kunnen worden benut. DAST: deze oplossingen maken ook gebruik van dynamische analyse om de applicatie te testen in de ‘runtime’ staat. DAST simuleert aanvallen op een applicatie en analyseert de reactie van de applicatie om te bepalen of er zich een kwetsbaarheid in bevindt.

iSOC24 heeft zowel de oplossing van Rapid7 als de crowd sourced security testing diensten van Synack in haar brede portfolio.

Hieronder staat de aanpak en functionaliteit van beide oplossingen verder beschreven:

Rapid7 InsightAppSec

InsightAppSec maakt onderdeel uit van de security suite van Rapid7 en biedt dynamische Application Security Testing (DAST) voor beginnende- en gevorderde Application Security specialisten. InsightAppSec levert uitgebreide dynamische applicatie test functionaliteit die continu web applicaties scant op kwetsbaarheden.

De belangrijkste kenmerken van InsightAppSec zijn: een universele ‘vertaler’ waarmee IT-security professionals complexe applicaties verder kunnen analyseren. De oplossing biedt daarnaast aangepaste aanvalssimulatie mogelijkheden die het automatisch testen van workflows zoals shopping carts mogelijk maken. Denk hierbij aan het automatiseren van securityscans, de replay van een aanval waardoor kwetsbaarheden in real-time opnieuw kunnen worden afgespeeld om te verifiëren dat kwetsbaarheden inderdaad wel of niet kunnen worden misbruikt en of de kwetsbaarheid wel of niet is opgelost, continue site monitoring, die verandering in het applicatie ecosysteem detecteert en een nieuwe scan activeert volgens configureerbare instellingen. Ook is de oplossing te integreren met een diversiteit aan ticketing systemen.

InsightAppSec biedt integratie met webapplicatie-firewalls (WAF's) door middel van het verzorgen van tijdelijk aangepaste regels die kwetsbare applicaties helpen beschermen terwijl ondertussen op de achtergrond de kwetsbaarheden worden verholpen.

Synack Crowd Sourced Web Application Testing dienstverlening

Voor organisaties die Web Application Security tests willen uitvoeren zonder dat er kostbare resources voor worden gebruikt biedt iSOC24 de Synack Crowd Sourced services aan. De combinatie van een professioneel team bestaande uit wereldwijd verspreide security specialisten en het centrale beheer inclusief het kunnen inzetten van de Synack Red Team capaciteit bieden een complete en professionele aanpak waarbij de resources in het bedrijf beschikbaar blijven.

Het grootste gedeelte van succesvolle digitale inbraken in organisaties (90%) en veiligheids- incidenten (50%) vindt plaats binnen de web applicatie laag. Om tegen deze aanvallen beschermd te zijn moet het enterprise applicatie test proces worden geïntegreerd in de software ontwikkel cyclus (SDLC). De on-demand SaaS dienstverlening voor crowdsourced security expertise van Synack maakt het mogelijk om een team met elite onderzoekers in te schakelen om continue of op ad-hoc basis web- en mobiele applicaties te testen op schadelijke kwetsbaarheden en zwaktes. Het team maakt gebruik van standaarden zoals de OWASP Application Security Verification Standard (ASVS) en zoekt naar potentieel serieuze kwetsbaarheden in applicaties zoals remote code execution, SQL injection, cross site scripting (XSS), en meer.

De hoeveelheid applicaties groeit dagelijks evenals de scope van de security aanpak en de snelheid waarmee dient te worden getest. Om de security behoefte in de ontwikkelfase efficiënt te kunnen adresseren maar ook om bij te blijven met het uitkomen van nieuwe code moet het security team in staat worden gesteld om hun bevindingen te integreren in het ontwikkelproces om hierdoor werkbare terugkoppeling te kunnen verzorgen aan ontwikkelaars.

De Synack crowdsourced application testing service biedt geprioriteerde, werkbare informatie over gevonden kwetsbaarheden waardoor onmiddellijke opvolging kan plaatsvinden om de gevonden kwetsbaarheden aan te kunnen pakken. Synack biedt inzicht vanuit ‘hackersperspectief’ over een continue of vaste periode die aansluit op de ontwikkelcyclus. Synack versnelt het testen en de on-demand uitrol om de DevSecOps behoefte in te kunnen vullen. Door het inzetten van de crowdsourced Web Application/Pentesting dienstverlening krijgen klanten aanzienlijk meer inzicht, meer verschillende methodes, een gedegen aanpak en uiteindelijk meer zicht op de totale situatie.

Wilt u meer weten over de Rapid7 oplossingen en de Synack dienstverlening en hoe deze het best kunnen toegepast in uw specifieke situatie neemt u dan contact op met één van onze specialisten.