Teste dinâmico de segurança da aplicação (DAST)

O teste dinâmico de segurança de aplicação (DAST) é um método de testar a segurança de uma aplicação enquanto ela está em execução. As ferramentas de DAST testam aplicações da Web durante seus estados operacionais para encontrar vulnerabilidades de segurança usando ataques simulados, como injeção de SQL, cross-site scripting e configuração de servidor insegura. Esse tipo de teste de segurança da aplicação (AppSec) imita um hacker mal-intencionado para encontrar problemas de segurança na aplicação em execução, para que os desenvolvedores possam corrigi-los antes que a aplicação seja implantada para o público.

Por que o DAST é importante para a segurança da aplicação?

Embora bilhões de dólares tenham sido investidos em ferramentas AppSec, 85% das aplicações ainda contêm vulnerabilidades conhecidas, com a maioria das violações ocorrendo na camada das aplicações, de acordo com o guia de segurança de software da GitHub.

As ferramentas de DAST são um tipo de ferramenta de segurança que pode ser usada como parte de um programa de segurança da aplicação. O DAST auxilia os desenvolvedores durante o ciclo de vida de desenvolvimento de software (SDLC), ajudando-os a detectar vulnerabilidades que podem ser exploradas por ataques maliciosos. As vulnerabilidades podem variar desde simples erros de codificação até problemas mais complexos, como configurações inseguras ou ambientes mal configurados. A identificação precoce de vulnerabilidades ajuda as empresas a se protegerem contra violações de dados, reputação da marca manchada e perda de confiança do cliente.

Como as ferramentas de DAST funcionam?

As ferramentas DAST capacitam as equipes de desenvolvimento a analisar a aplicação a partir de uma perspectiva de segurança de caixa preta, que está muito próxima da mentalidade do atacante. O DAST imita as mesmas técnicas que atacantes mal-intencionados, que não conhecem a infraestrutura, a arquitetura ou o código da aplicação, usam para encontrar vulnerabilidades de aplicações. A ferramenta de DAST:

• Executa um rastreamento para detectar pontos de ataque na camada da aplicação, como links, cookies e parâmetros de URL.

• Cria um mapa das páginas e problemas das aplicações da Web.

• Audita o que descobriu e simula diferentes tipos de ataques maliciosos para descobrir vulnerabilidades de segurança.

• Alerta a equipe de desenvolvimento quando encontra uma vulnerabilidade em uma aplicação.

Tipos de DAST

Existem dois tipos de testes dinâmicos de segurança de aplicação. O DAST automatizado, descrito nos tópicos acima, usa software para verificar vulnerabilidades na aplicação e replicar os ataques. Para situações mais complexas, os especialistas em segurança usam procedimentos de DAST manual para testar vulnerabilidades que o DAST automatizado pode deixar passar. Para combater hackers sofisticados, as equipes de desenvolvimento podem usar uma combinação de DAST automatizado e manual.

Embora o DAST automatizado seja normalmente mais rápido e eficiente, ele pode não ser capaz de identificar todas as vulnerabilidades em uma aplicação da Web e gerar falsos positivos. O DAST manual tende a ser mais preciso porque pode ser adaptado à aplicação da Web, mas consome mais tempo e mais recursos.

Benefícios do DAST

Também conhecido como scanner de vulnerabilidade de aplicações da Web, a varredura de DAST ajuda as equipes de desenvolvimento de aplicações a proteger suas aplicações da Web dos ataques mais prejudiciais, inclusive dos que dão aos hackers acesso a dados confidenciais, como cartões de crédito e informações de clientes.

O teste dinâmico de segurança de aplicação é uma ferramenta eficaz para identificar problemas de segurança visíveis externamente e problemas de tempo de execução que permitem que hackers realizem os seguintes ataques a aplicações da Web:

• Injeção de SQL, um dos tipos mais comuns de ataques baseados na Web, em que o atacante assume o controle do banco de dados da aplicação Web.

• Ataques por problemas de privilégio de usuário no qual os funcionários mal-intencionados obtêm acesso a informações confidenciais.

• Memoria corrompida, que permite ao atacante vazar informações confidenciais ou executar código.

• Cross-site scripting, quando os atacantes injetam seu próprio código para roubar informações confidenciais.

• Ataques de configuração de servidor inseguros para expor dados críticos ou confidenciais.

Depois que o DAST alerta a equipe de desenvolvimento de que a verificação identificou vulnerabilidades de segurança, a equipe trabalha para remediar os problemas e proteger a marca e os clientes da empresa contra as consequências prejudiciais causadas por ataques cibernéticos e violações de dados.

DAST Pros\t

• Imita um hacker malicioso do mundo real para identificar vulnerabilidades de segurança que ocorrem nas aplicações em execução. Outras ferramentas de segurança de aplicativos normalmente não encontram esses problemas.\t

• Gera alguns falso-positivos (relatórios de vulnerabilidades que não existem) em comparação com outros métodos.\t

• Pode ser executado em qualquer aplicação, pois não precisa de acesso ao código-fonte. Portanto, uma ferramenta de DAST pode suportar todas as aplicações da equipe de desenvolvimento.\t

DAST Cons

• Pode exigir que os especialistas em segurança executem testes e interpretem relatórios.

• As varreduras podem levar muito tempo.

• Não é possível identificar a localização específica do código problemático porque ele não funciona com o código-fonte da aplicação.

Comparação entre DAST e SAST

O teste dinâmico de segurança de aplicação (DAST) é diferente do teste estático de segurança de aplicação (SAST):

• As ferramentas de DAST verificam os programas enquanto eles estão em execução para encontrar problemas de segurança na aplicação em execução.

• As ferramentas de SAST verificam o código-fonte ou o código binário da aplicação quando a aplicação não está em execução para identificar possíveis vulnerabilidades com base no projeto ou na implementação.

Algumas ferramentas de SAST varrem o código enquanto ele está sendo criado. Por exemplo, um produto de varredura de código SAST é incorporado nativamente no GitHub Advanced Security (GHAS) para examinar o código à medida que ele é escrito e integrar correções nativamente ao fluxo de trabalho do desenvolvedor. Isso ajuda os desenvolvedores a encontrar e corrigir problemas de segurança em seu código mais cedo para automatizar e dimensionar a segurança da aplicação.

As equipes de desenvolvedores que buscam maximizar a segurança da aplicação usam uma combinação de ferramentas de DAST e SAST para testar suas aplicações da Web. Essa prática recomendada aumenta a segurança, proporcionando aos desenvolvedores uma visão abrangente das vulnerabilidades das aplicações, tanto da perspectiva do hacker “de fora para dentro” com o DAST quanto de uma perspectiva do desenvolvedor “de dentro para fora” com o SAST.

Como usar as ferramentas de DAST

Os testes de DAST são executados em tempo real para ajudar os desenvolvedores a identificar e corrigir problemas de segurança antes do lançamento da aplicação. A estratégia mais eficaz é executar testes DAST no início do SDLC, quando é menos dispendioso e demorado corrigir vulnerabilidades. Depois que a aplicação da Web estiver em produção, o DAST continuará a procurar vulnerabilidades e enviará alertas às pessoas certas quando a correção for necessária.

Desenvolver aplicações seguras com DAST

Os ataques cibernéticos a aplicações da Web são sérias ameaças às empresas. Imitando um atacante maliciosos que está tentando invadir uma aplicação para roubar dados, a verificação DAST expõe as vulnerabilidades de segurança mais prejudiciais, para que as equipes de desenvolvimento possam corrigi-las antes que a aplicação seja lançada para a produção.

Usar ferramentas como o DAST para ficar antecipadamente os problemas de segurança é um componente essencial do GitHub Security. Projetado para ajudar os desenvolvedores a adotar uma abordagem de segurança proativa, o GitHub Security incorpora nativamente ferramentas de segurança diretamente no fluxo de trabalho de DevOps, incluindo:

• A varredura de código examina seu código em busca de problemas de segurança enquanto ele está sendo escrito e integra as correções de maneira nativa ao fluxo de trabalho do desenvolvedor.

• A verificação de segredo evita o uso fraudulento de segredos vazados que podem ter sido inseridos acidentalmente no código.

• A segurança da cadeia de suprimentos de software usa análise de composição de software para detectar dependências vulneráveis antes que elas sejam lançadas na base de código.

• A visão geral da segurança apresenta uma visão centralizada e única dos riscos de segurança em toda a empresa.

Além disso, recursos de segurança de terceiros estão disponíveis por meio do GitHub Actions, para dar aos desenvolvedores a liberdade e a extensibilidade para automatizar, personalizar e executar os fluxos de trabalho de software no mesmo local em que codificam. Essa funcionalidade permite que os desenvolvedores usem mecanismos de SAST de terceiros, DAST, infraestrutura como varredura de código (IaC) e varredura de contêiner.

Juntos, o GitHub Security, o DAST e as ferramentas de terceiros capacitam as equipes de desenvolvedores a proteger seu software e código personalizado durante todo o ciclo de vida do software.