Un proceso automático que podría ser limitado

la pregunta “¿por qué necesitamos análisis de seguridad?” En vista de esto, da cuenta de cómo ha aumentado el número de vulnerabilidades en los últimos años, que los piratas informáticos pueden explorar y utilizar para dañar los sistemas de las organizaciones. Por lo tanto, la respuesta a la pregunta termina siendo: el análisis de seguridad es necesario para encontrar fallas de seguridad en el sistema y evitar ataques de piratas informáticos malintencionados lo antes posible.

 

Aunque las pruebas de penetración , las pruebas de seguridad de aplicaciones interactivas (IAST) y los cortafuegos de aplicaciones web (WAF) son metodologías de seguridad ampliamente reconocidas, normalmente se utilizan como procesos para complementar las dos soluciones más populares que se utilizan en la actualidad: las Pruebas de Seguridad de Aplicaciones Estáticas (SAST) y las Pruebas de Seguridad de Aplicaciones Dinámicas (DAST).

SAST vs DAST será discutido alrededor de 5 parámetros en este artículo:

· Integración del Ciclo de Vida de Desarrollo de Software (SDLC).

· Integración Continua y Entrega Continua (CICD).

· Cobertura y efectividad de vulnerabilidades.

· Desempeño de Mitigación/Remediación.

· Retorno de la inversión (ROI).

INTEGRACIÓN DEL CICLO DE VIDA DEL DESARROLLO DE SOFTWARE (SDLC) 

¿Cómo se apilan SAST y DAST cuando se trata de crear un SDLC (sSDLC) seguro?

La creación de un Ciclo de Vida de Desarrollo de Software seguro (sSDLC) está empezando a convertirse en una de las formas más completas de asegurar el desarrollo seguro de aplicaciones web y móviles. Pero los tres patrones fundamentalmente diferentes implementados en las principales organizaciones de desarrollo de aplicaciones de hoy en día están planteando un enorme desafío en el frente de la seguridad.

· Cascada (Proceso de Diseño Secuencial)

· Agile/DevOps (Desarrollo Iterativo)

· Integración Continua y Entrega Continua (CI/CD)

Las grandes organizaciones a menudo tienen más de uno de estos que se utilizan simultáneamente, según las necesidades de los diferentes equipos de desarrollo que trabajan en el proyecto.

Pruebas de seguridad de aplicaciones estáticas (SAST): las soluciones SAST, como el Análisis de Código Fuente (SCA), tienen la flexibilidad necesaria para funcionar en todo tipo de metodologías SDLC.

Las soluciones SAST pueden integrarse directamente en el entorno de desarrollo. Esto permite a los desarrolladores monitorizar su código constantemente. Los Maestros Scrum y los Propietarios de Productos también pueden regular los estándares de seguridad dentro de sus equipos de desarrollo y organizaciones. Esto conduce a una rápida mitigación de las vulnerabilidades y a una mayor integridad del código.

Pruebas Dinámicas de Seguridad de Aplicaciones (DAST): las pruebas de Black Box son ideales para entornos Waterfall, pero se quedan cortas en los métodos de desarrollo más progresivos debido a sus limitaciones heredadas. Las herramientas DAST no se pueden utilizar en código fuente o códigos de aplicación no complicados, lo que retrasa la implementación de seguridad hasta las últimas etapas de desarrollo.

RETORNO DE LA INVERSIÓN (ROI)

Comparación del factor «relación calidad-precio» de las dos metodologías.

Otro aspecto importante es la inversión que requiere la organización. El desarrollo de aplicaciones web y móviles puede resultar un proyecto muy costoso y con muchos recursos, a menudo causando un descenso en la inversión en el frente de la seguridad. No se recomienda hacer esto, como se evidencia en la siguiente infografía.

Existen diferentes técnicas de análisis de software que podemos emplear para encontrar vulnerabilidades. ya habíamos mencionado las técnicas ( SASTPruebas de seguridad de aplicaciones estáticas) y DAST(Pruebas de seguridad de aplicaciones dinámicas). 

En este momento, incluimos otra técnica llamada IAST (Prueba de seguridad de aplicaciones interactivas), que como diferencia principal con las dos anteriores, tiene su actividad u operación dentro de la aplicación . En esta técnica, el código se analiza mientras se ejecuta la aplicación. Con IAST, podemos interactuar con la funcionalidad de la aplicación, ya sea de forma manual o automática.

Para el manejo de todos los tipos de análisis mencionados anteriormente, Revuelta se refiere a una Orquestación de pruebas de seguridad de aplicaciones ( ASTO) que se realizará en una sola plataforma. Sin embargo, dentro de su empresa, el ASTOsolo está orientado a la gestión SASTy las SCAtécnicas y sus resultados, refiriéndose al estado de seguridad del software en evaluación.

La ASTO-es un proceso  en comprende SASTSCA– por los ataques de fluido comprende SASTDASTIAST, y SCA, y se lleva a cabo en la Integratesplataforma. En Doble Factor, para mantener cerca los registros de falsos positivos y falsos negativos , vamos más allá del uso de herramientas automáticas y empleamos perspicacia y sagacidad humana.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *