DAST, SAST, IAST, O QUE ISSO TÊM A VER COM PENTEST?

QUANDO PLANEJAMOS UM PENTEST PODEMOS NOS DEPARAR COM VÁRIAS DÚVIDAS SOBRE COMO REALIZAR E QUAIS MODALIDADES EXISTEM. SEMPRE HÁ UMA SOPA DE LETRINHAS PARA DAR NOMES ÀS ATIVIDADES REALIZADAS, E BASICAMENTE, O DAST, SAST E IAST, FAZEM PARTE DESSA SOPA DE LETRINHAS DO DEVSEC!


Em alguns momentos trabalhando com segurança da informação me deparei com termos aos quais eu não conhecia. Muitas das vezes são palavras e siglas “bonitas” para “dar nome” à atividades que já realizamos em nosso dia-a-dia. Lembro quando comecei estudar Segurança Corporativa, de surgir palavras como stakeholders, que nada mais é do que as partes interessadas, acionistas, diretores e afins.

No campo da segurança ofensiva também temos uma sopa de letrinhas para “dar nome” à atividades que já realizamos corriqueiramente.

A segurança em desenvolvimento está cada vez mais em voga, e muitas empresas estão contratando profissionais e empresas especializadas em Desenvolvimento Seguro (DevSec). O “pentest” de aplicações podem ser realizados de várias formas e com escopos distintos. Para definir que tipo de teste será realizado em uma aplicação, no que tange desenvolvimento, é bom aprendermos os conceitos de DAST, SAST e IAST.

DAST – Dynamic application security testing

A ideia macro do DAST é realizar testes em aplicações em uma visão outside-inside, ou seja, de fora para dentro do ambiente. O profissional que realiza o DAST precisa apenas de alguma informação como uma URL ou um IP para performar uma série de testes de segurança. Os testes de DAST acontecem sempre depois que a aplicação á está em execução e rodando. Podemos comparar o DAST à um Black Box, pois o especialista em segurança não possui informações sobre o código da aplicação e precisará desvendar toda sua estrutura.

SAST – Static Application Security Testing

Por que publicar uma aplicação vulnerável se podemos avaliar ela antes da publicação? Esse é o foco do SAST. Ele acontece durante o processo de desenvolvimento do sistema ou logo após ele estar pronto,mas sempre antes de publicar a aplicação em produção. O objetivo do SAST é que o sistema esteja pronto e seguro antes de ser publicado. Os profissionais de segurança possuem acesso ao código fonte da aplicação para performar os testes necessários e avaliar o código, algo muito parecido com o White Box.

Uma das vantagens do SAST é a diminuição de falsos positivos. Muitos teste realizados com ferramentas automatizadas podem gerar muitos falso positivos. O SAST diminui isso, pois há a interação com o código fonte, diretamente pelo profissional que está realizando a análise.

IAST – Interactive application security testing 

Que tal juntas o DAST e o SAST e criar uma forma mais interativa de teste das aplicações? Sim, alguém pensou nisso e então surgiu o IAST. Podemos submeter os testes em aplicações pelas 2 vertentes e dessa forma maximizar ainda mais o ganho de segurança no desenvolvimento e publicação de aplicações. No IAST os testes performados acontecem tanto no código fonte, quanto na aplicação já em execução.

Para execução desse tipo de análise, podemos contar com algumas ferramentas de mercado, focadas em desenvolvimento seguro que conseguem criar um padrão de desenvolvimento e até mesmo auditar o código enquanto ele ainda está em construção. Algumas empresas possuem a “esteira de desenvolvimento”, no mesmo sentido de uma linha de produção fabril, onde cada etapa é padronizada e auditada. O DevSec é muito importante para fortalecer as aplicações, portanto, além de investir no pentest tradicional, as empresas precisam focar na capacitação das equipes de desenvolvimento e utilizar técnicas e padrões de DevSec no seu dia-a-dia.

Por Mateus Buogo  

Pentester Certificado DCPT, Analista de Segurança, Professor de Ensino Superior, Palestrante da Defcon  DC5551 e TcheLinux

DAST, SAST, IAST, O QUE ISSO TÊM A VER COM PENTEST?
Tags:                     

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *