Разработка безопасных приложений. Часть 2. Обзор рынка DAST 2021

Мы продолжаем цикл статей, посвящённый безопасной разработке приложений — DevSecOps. Мы уже рассказывали о рынке средств статического тестирования защищённости программных продуктов (Static Application Security Testing, SAST). Сегодня мы сфокусируем внимание на сегменте динамического тестирования (Dynamic Application Security Testing, DAST).

 

 

 

 

 

1. Введение
2. Что такое DAST
3. Мировой рынок DAST
4. Российский рынок DAST
5. Обзор популярных российских продуктов класса DAST
   
   1. 5.1. PT Application Inspector
6. Обзор популярных зарубежных продуктов и сервисов класса DAST
   
   1. 6.1. Acunetix
   2. 6.2. Fortify WebInspect
   3. 6.3. HCL Security AppScan
   4. 6.4. Synopsys Managed DAST
   5. 6.5. Tenable.io (Web App Scanning)
   6. 6.6. Veracode Dynamic Analysis
   7. 6.7. WhiteHat Sentinel Dynamic
7. Выводы

Введение

Первый шаг к обнаружению потенциальных уязвимостей в безопасности приложения — это проведение статических проверок кода. Об этом мы уже рассказывали в статье «Разработка безопасных приложений. Часть 1. Обзор рынка SAST 2021». Однако после развёртывания приложение подвергается новым угрозам, таким как межсайтовый скриптинг (XSS), SQL-инъекции, ненадёжная аутентификация. Для их поиска используются инструменты класса Dynamic Application Security Testing (DAST).

Что такое DAST

Динамическое тестирование безопасности приложений (DAST) — это процесс проверки программы в рабочем состоянии для поиска уязвимостей (методом «чёрного ящика»). Средства DAST анализируют приложения во время их выполнения, обнаруживая опасные изъяны: повреждение памяти, незащищённые конфигурации серверов, возможность межсайтового исполнения сценариев, проблемы с разрешениями пользователей, внедрение вредоносного SQL-кода и другие критически важные уязвимости.

В то время как средства SAST анализируют исходный код или скомпилированные его версии на наличие проблем с безопасностью тогда, когда он не выполняется, инструменты DAST специально отслеживают поведение работающего приложения. Они запускают автоматические проверки, имитирующие вредоносные внешние атаки на программу. Цель состоит в том, чтобы определить неожиданные результаты. Например, тест может ввести вредоносные данные, чтобы выявить недостатки внедрения. Инструмент DAST обычно тестирует все точки доступа HTML и HTTP. Чтобы найти уязвимости, тест имитирует случайное поведение и действия пользователя.

Продукты для динамического тестирования не имеют доступа к исходному коду. Чтобы обнаружить уязвимости в системе безопасности, они атакуют приложение извне. Вследствие этого тест не указывает на конкретные уязвимые компоненты кода, как это делается в средствах подкласса SAST.

Традиционная технология DAST требует пристального наблюдения со стороны специалистов по безопасности, которым часто приходится писать тесты или дорабатывать решение. Для этого экспертам необходимо глубокое понимание тестируемого приложения, а также знание серверов приложений, баз данных, веб-серверов, потоков трафика приложений и списков контроля доступа.

Опять же, как и в случае с инструментами SAST, не существует универсального решения. В то время как одни программы (вроде инструментов для сканирования веб-приложений) могут быть вполне легко интегрированы в конвейер CI / CD, другие процессы DAST, такие как фаззинг, требуют иного подхода. Разумно выполнить «фаззинг чёрного ящика», что значительно облегчит работу, поскольку не требует постоянного контроля над исходным кодом.

С точки зрения исполнения продукты могут быть установлены непосредственно у заказчика (on-premise) или быть облачными (software-as-a-service). Динамическое тестирование приложения также может быть выполнено экспертами сторонней организации (по запросу).

Мировой рынок DAST

По прогнозам Grand View Research рынок средств защиты приложений достигнет 10,7 млрд долларов США к 2025 году, увеличиваясь в среднем на 17,7 % за год. При этом в группе средств анализа кода SAST и DAST занимают одинаковые позиции по продажам в масштабах мирового рынка.

 

Рисунок 1. Распределение типов анализаторов по долям продаж в масштабах мирового рынка по данным Grand View Research

 

Согласно исследованию «Dynamic Application Security Testing Market — Forecast (2020–2025)», проведённому IndustryARC, рынок DAST по прогнозам достигнет 2,4 млрд долларов США к 2025 году, увеличиваясь в среднем на 17,4 % за год. Северная Америка доминирует на глобальном рынке динамического тестирования безопасности приложений в 2019 году и, как ожидается, будет иметь значительную долю на нём в течение прогнозируемого периода с 2020-го по 2025 год. Присутствие таких ключевых игроков, как WhiteHat Security, Synopsys и IBM, выступает в качестве основного драйвера роста этого сегмента.

Растущий спрос на безопасность приложений со стороны ведущих организаций и всё большее распространение смартфонов также способствовали развитию рынка динамического тестирования безопасности приложений. Кроме того, внедрение облачных приложений наряду с инвестициями в исследования и разработки также подпитывают рассматриваемый сегмент. Строгое государственное регулирование, требующее внедрения передовых инструментов тестирования безопасности приложений, и растущий уровень киберпреступности оказали не менее серьёзное влияние на рынок.

Партнёрские отношения и приобретения наряду с запуском продуктов являются ключевыми стратегиями на рынке динамического тестирования безопасности приложений. Основными игроками в этом сегменте, по мнению аналитиков IndustryARC, являются WhiteHat Security, Synopsys, Veracode, IBM, Rapid7, Micro Focus, Accenture, TietoEVRY, Pradeo Security Solutions и Trustwave Holdings.

 

Рисунок 2. Квадрант Gartner по тестированию безопасности приложений

 

Gartner в отчёте «Critical Capabilities for Application Security Testing» выделяет на мировом рынке следующих основных игроков:

• CAST;
• Contrast Security;
• GitLab;
• HCL Software;
• Micro Focus;
• Onapsis;
• Rapid7;
• Synopsys;
• Veracode;
• WhiteHat Security.

Таким образом, на мировом рынке представлено множество различных продуктов — как от известных вендоров в области безопасности, так и от нишевых игроков, занимающихся только разработкой DAST.

Российский рынок DAST

В России рыночный сегмент DAST на данный момент неплохо развит. На российском рынке присутствуют как отечественные вендоры, так и зарубежные.

Среди российских участников рынка можно выделить:

• Positive Technologies.

Среди зарубежных игроков можно отметить:

• Acunetix;
• HCL;
• Micro Focus;
• Tenable;
• Veracode;
• WhiteHat Security.

К сожалению, мы не располагаем полными сведениями об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи представить их ранжирование.

Краткий обзор продуктов, популярных на российском и мировом рынках, приведён ниже.

Обзор популярных российских продуктов класса DAST

 

 

PT Application Inspector

PT Application Inspector позволяет выявлять уязвимости и признаки недекларированных возможностей. Он анализирует исходный код или готовое приложение, комбинируя статические, динамические и интерактивные методы (SAST, DAST и IAST). По итогам анализа PT Application Inspector генерирует безопасные эксплойты — эффективные тестовые запросы, которые помогают подтвердить или опровергнуть наличие уязвимости.

 

Рисунок 3. Интерфейс PT Application Inspector

 

Среди ключевых особенностей продукта можно выделить следующие:

• Поддержка анализа веб-приложений и большого набора систем разработки для бизнес-приложений.
• Отечественный, локализованный продукт.
• Широкий набор поддерживаемых государственных стандартов.
• Использование базы уязвимостей веб-приложений WASC и классификатора CWE.
• Автоматическая выгрузка результатов анализа в межсетевой экран уровня веб-приложений PT Application Firewall, который применяет правила для блокировки атак на уязвимое приложение на время исправления кода.
• Наличие сертификата ФСТЭК России.

Подробнее с продуктом можно ознакомиться здесь.

Обзор популярных зарубежных продуктов и сервисов класса DAST

 

 

Acunetix

Acunetix автоматизирует контроль безопасности веб-приложений и позволяет выявить уязвимые места в защите веб-сайта, серверной части мобильного приложения и веб-API до того, как их обнаружит и использует злоумышленник. Доступно сканирование в режиме «чёрного ящика», когда продукт самостоятельно исследует и выстраивает структуру сайта, обрабатывая все найденные ссылки и собирая информацию обо всех обнаруженных файлах, а также тонкое сканирование с импортом карты веб-приложения и паролей для входа в закрытые части (личные кабинеты и панели администрирования). Затем программа тестирует все поля для ввода данных, параметры и команды, перебирая известные модели атак и комбинации. Обнаруженные уязвимости оформляются в виде удобных карточек, которые содержат описание уязвимости, подтверждение её эксплуатируемости и рекомендации по её устранению. Продукт может быть интегрирован в CI / CD в виде шага автоматической проверки каждой новой версии приложения для процессов безопасной веб-разработки.

 

Рисунок 4. Интерфейс Acunetix

 

Среди ключевых особенностей продукта можно выделить следующие:

• Acunetix обнаруживает и собирает в список все веб-приложения и домены, связанные с клиентом, помогая не забыть о старых тестовых веб-сайтах и продающих (landing) страницах, которые также могут стать целью для атаки хакеров.
• Продукт использует собственные технологии и внушительную базу методов обнаружения уязвимостей, включая базы популярных паролей для перебора, адреса панелей управления и названия файлов резервных копий. Каждая найденная уязвимость тестируется, и в отчёт попадают только подтверждённые уязвимости, отсортированные по важности.
• По заявлению производителя, разработанный специализированной командой сканер Acunetix построен с использованием C++ для повышения эффективности, что делает его одним из самых быстрых решений на рынке.
• Построение отчётов для разработчиков, а также специализированных отчётов о соответствии требованиям HIPAA, PCI DSS, ISO/IEC 27001.
• Импорт результатов сканирования в WAF (Citrix Web App Firewall, F5 BIG-IP ASM, Fortinet FortiWeb и Imperva SecureSphere WAF).
• Acunetix интегрируется с тикет-системами и встраивается в процессы CI / CD. Поддерживаются такие инструменты, как Jira, Jenkins, GitHub, GitLab, TFS, Bugzilla и Mantis.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Fortify WebInspect

Fortify WebInspect обеспечивает динамический анализ с помощью таких основных функций, как автоматическая генерация макросов, поддержка Selenium и контейнеризация. Fortify WebInspect также обеспечивает взаимодействие сканирующих компонентов, совместную работу и широкий охват API для расширения возможностей инструментов динамического анализа в соответствии с корпоративными условиями и требованиями.

 

Рисунок 5. Интерфейс Fortify WebInspect

 

Среди ключевых особенностей продукта можно выделить следующие:

• Соответствие требованиям по безопасности за счёт использования предустановленных наборов правил и отчётов согласно самым распространённым стандартам: PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP, HIPAA и пр.
• Сканирование современных сред разработки и API. Высокопроизводительные интегрируемые модули позволяют как сканировать базовые API с поддержкой OpenAPI (Swagger), так и использовать более сложные сценарии с уникальными рабочими процессами, сложными процедурами аутентификации и нестандартными требованиями к параметрам.
• Быстрые и точные результаты тестирования. Fortify WebInspect использует как предварительно сформированные наборы правил, так и индивидуальные, созданные с учётом требований к скорости и эффективности работы систем. Поддержка пошагового анализа позволяет быстро оценивать уязвимости в изменённых компонентах приложения.
• Предлагается в виде локального ПО, на условиях SaaS или в гибридной конфигурации.

Подробнее с продуктом можно ознакомиться здесь.

 

 

HCL Security AppScan

HCL Security AppScan предназначен для специалистов по информационной безопасности, требует высокой квалификации, зато формирует более полную картину уязвимостей. Продукт обеспечивает взаимодействие между сотрудниками ответственными за безопасность приложений и разработчиками. Обладает средствами интеграции с распространёнными средами разработки, что позволяет отслеживать уязвимости на ранних стадиях.

 

Рисунок 6. Интерфейс HCL Security AppScan

 

Среди ключевых особенностей продукта можно выделить следующие:

• Управление скоростью сканирования на разных этапах DevSecOps. Ползунок оптимизации тестов позволяет управлять балансом между охватом проблем и скоростью сканирования с помощью четырёх уровней оптимизации.
• Инкрементальное сканирование обеспечивает более короткие проверки, работая только с изменениями в приложении.
• Оптимизированное исследование с прогнозированием на основе машинного обучения.
• Улучшенное обнаружение уязвимостей, которые не могут быть выявлены непосредственно с помощью тестируемого приложения, таких как атаки OS Commanding, SSRF и XXE.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Synopsys Managed DAST

Synopsys Managed DAST — это экспертное динамическое тестирование по запросу. Решение поддерживается командой экспертов по безопасности Synopsys, которые постоянно совершенствуют свои методологии тестирования по мере изменения ландшафта уязвимостей.

Среди ключевых особенностей сервиса можно выделить следующие:

• Использует автоматизированные инструменты для выявления общих уязвимостей, таких как SQL-инъекции, межсайтовые сценарии, неправильные конфигурации безопасности и другие изъяны из перечней OWASP Top 10, CWE / SANS Top 25 и др.
• Включает в себя сценарии ручного тестирования для поиска таких уязвимостей, которые не могут быть найдены с помощью готовых инструментов, например связанных с аутентификацией и управлением сеансами, управлением доступом, утечками информации и т. д.
• Доступны ручной анализ для выявления ложных срабатываний и обобщение данных для объяснения полученных результатов.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Tenable.io (Web App Scanning)

Tenable.io является универсальной облачной платформой, предназначенной для управления уязвимостями в рамках крупного, среднего и малого бизнеса. Приложение Web App Scanning в составе платформы позволяет повысить уровень безопасности веб-приложений за счёт автоматического сканирования и обнаружения уязвимостей.

 

Рисунок 7. Интерфейс Tenable Web App Scanning

 

Среди ключевых особенностей продукта можно выделить следующие:

• Понимание собственных веб-приложений за счёт информации об их расположении и полной карты сайта.
• Безопасное сканирование, позволяющее разграничить части веб-приложений, которые требуется сканировать всегда, и части, которые не должны проверяться никогда.
• Автоматизация сканирования.
• Включение в охват сканирования веб-приложений на HTML, HTML5 и AJAX.
• Интеграция с другими решениями компании Tenable.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Veracode Dynamic Analysis

Veracode Dynamic Analysis — это решение, которое обеспечивает автоматизированное и масштабируемое динамическое сканирование с широким охватом на высокой скорости. Поскольку угрозы безопасности постоянно развиваются, организации нуждаются в продукте, который позволит им быстро начать сканирование и масштабировать его, когда потребности возрастут.

 

Рисунок 8. Интерфейс Veracode Dynamic Analysis

 

Среди ключевых особенностей продукта можно выделить следующие:

• Планирование повторяющегося сканирования, автоматическая пауза и возобновление.
• Динамический анализ поддерживает аутентифицированное пакетное сканирование URL-адресов, чтобы увеличить охват за счёт сканирования за экраном входа в систему.
• В одном автоматизированном продукте объединены возможность масштабного сканирования, которое может выполнять Veracode DynamicMP, и возможность настройки и сканирования за экраном входа в систему, которую предоставляет Veracode DynamicDS.

Подробнее с продуктом можно ознакомиться здесь.

 

 

WhiteHat Sentinel Dynamic

WhiteHat Sentinel Dynamic предназначен для автоматизации сканирования, обнаружения и обновления веб-страниц и ссылок без проблем и без каких-либо последствий для клиента.

Среди ключевых особенностей продукта можно выделить следующие:

• Использование глубокого стека фреймворка JavaScript для сканирования большего количества страниц и получения более масштабных результатов проверки.
• Отсутствие обширной настройки позволяет сканировать большинство веб-сайтов без интенсивного взаимодействия с пользователем.
• Непрерывное динамическое сканирование никак не влияет на расписание других сканирований системы.
• Облачная платформа без установки аппаратного или сканирующего программного обеспечения.
• Автоматическое обнаружение и оценка изменений кода в веб-приложениях.
• Интеграция по API с SIEM, системами отслеживания ошибок и WAF.
• Уязвимости проверяются экспертами по безопасности центра исследования угроз WhiteHat (TRC), что практически исключает ложные срабатывания.

Подробнее с продуктом можно ознакомиться здесь.

Выводы

Наличие ошибок, уязвимостей и закладок в разрабатываемом приложении несёт серьёзные риски для информационной безопасности. Использование DAST позволяет существенно снизить эти риски и контролировать качество разработки без привлечения внешних экспертов. DAST является практичным инструментом для разработчиков, который удобно встраивается в процессы DevSecOps.

На мировом рынке представлено множество различных продуктов — как от известных вендоров в области безопасности, так и от нишевых игроков, занимающихся только разработкой DAST.

В России сегмент рынка продуктов DAST неплохо развит. На российском рынке присутствуют как отечественные вендоры (Positive Technologies), так и зарубежные (Acunetix, HCL, Micro Focus, Tenable, Veracode, WhiteHat Security).