¿Qué es IAST? Definición | Seguridad de aplicación interactiva

La prueba de seguridad de aplicaciones interactivas es un procedimiento especial para mejorar la seguridad de las aplicaciones web. El escáner observa el comportamiento de la aplicación en tiempo real. Este concepto se considera muy confiable.

Específicamente, estos son escáneres que monitorean el comportamiento de las aplicaciones relevantes en tiempo real. Al probar las aplicaciones, los escáneres analizan lo que está sucediendo desde el exterior (tiempo de ejecución, configuraciones, etc.) así como desde el interior (líneas de código). IAST es un proceso de caja blanca porque los escáneres pueden acceder al código.

Las diferencias entre IAST, SAST y DAST

Las pruebas de seguridad de aplicaciones interactivas son básicamente un híbrido de pruebas de seguridad estáticas (SAST) y dinámicas (DAST). Los escáneres SAST se centran en el código y se utilizan en una etapa temprana del desarrollo. Las herramientas DAST simulan ataques a aplicaciones en ejecución. Por lo tanto, solo trabajarás más tarde en el ciclo de desarrollo.

En realidad, estas tareas no pueden ser cubiertas por una solución, ya que las rutinas de ataque destinadas a ataques externos funcionarían en el sistema. Para cubrir estas funciones en conjunto, las herramientas de IAST trabajan con sensores y agentes de software. Por lo tanto, el enfoque es algo diferente al de SAST y DAST.

Al observar el código, los sensores informan si la ejecución de las líneas se desvía del comportamiento esperado. En el análisis estático, los escáneres buscan patrones conocidos en el código que indiquen puntos débiles. Para el área externa, las Pruebas de seguridad de aplicaciones interactivas funcionan en principio de la misma manera: los agentes software evalúan el comportamiento de la aplicación en determinadas situaciones de pruebas automatizadas. Las pruebas dinámicas son ataques simulados que se llevan a cabo desde el exterior.

IAST se puede utilizar tanto en desarrollo como en fase de prueba y garantía de calidad. A menudo, también se utiliza posteriormente para el desarrollo posterior de aplicaciones existentes. El enfoque diferente de IAST da como resultado ciertas ventajas y desventajas en comparación con SAST y DAST.

Ventajas de IAST en comparación con DAST y SAST

Ventajas de IAST en comparación con DAST y SAST
Ventajas de IAST en comparación con DAST y SAST
  • Los resultados se entregan en tiempo real. Los escáneres DAST, en particular, tardan mucho en completar sus análisis.
  • Las herramientas IAST tienen una tasa de falsos positivos muy baja. Las herramientas SAST a menudo luchan con este problema.
  • No se requieren conocimientos especializados para utilizar los escáneres. Las herramientas DAST están escritas por especialistas y solo ellos pueden modificarlas.
  • Las soluciones son altamente escalables.
  • Las pruebas se pueden automatizar en gran medida, incluidos los informes.
  • Los casos de prueba existentes se pueden usar varias veces. No es necesario escribir nuevos scripts.
  • Muchos errores se encuentran en una etapa temprana, por lo que se reducen los costos de resolución de problemas.
  • Debido a que el código es accesible, los escáneres de IAST a menudo pueden revelar por qué hay un problema. Las soluciones DAST no pueden.
  • Los análisis de IAST no interfieren con otros procesos. Las aplicaciones se pueden utilizar normalmente.

Desventajas de IAST en comparación con los otros conceptos

Muchos expertos opinan que las soluciones IAST no tienen ninguna desventaja en comparación con los otros conceptos. No tienen debilidades significativas. Sin embargo, esto no es correcto. Estos instrumentos también tienen que lidiar con algunos problemas:

  • La profundidad del análisis es menor que con SAST y DAST para proporcionar resultados en tiempo real.
  • Los escáneres tardan más en entrenarse para detectar nuevas amenazas.
  • Las soluciones IAST requieren un alto grado de personalización. Por ejemplo, esto se aplica a los escáneres que informan un comportamiento inesperado del código mientras se está ejecutando.

IAST es la última pieza del rompecabezas, pero no la imagen completa

Cualquiera que lea las ventajas de las pruebas de seguridad de aplicaciones interactivas desarrolla rápidamente la idea de que este procedimiento es suficiente para las pruebas de seguridad. Después de todo, cubre todos los campos y funciona de manera confiable.

Sin embargo, este no es el caso debido a la profundidad reducida del análisis y las demoras antes de que los escáneres puedan detectar nuevas amenazas. Las herramientas IAST son la última (y a menudo la más importante) pieza del rompecabezas para optimizar la seguridad de una aplicación web. También se deben utilizar SAST y DAST.

Deja un comentario