【安全运营】完美结合:漏洞评估和渗透测试(VAPT)
百分之百 - 所有由Positive Technologies测试的应用程序都存在某种漏洞。您可能会想,“是的,但其中有多少是真正的,关键的漏洞?”嗯,94%的Web应用程序测试包含高严重性的软件漏洞。这些相同应用程序中有85%包含至少一个已确认的可利用漏洞。
这些并不令人鼓舞 - 实际上,它们非常令人恐惧。这些应用程序对我们有多少数据?但这些数字也表明应用程序漏洞中的一个重要区别 - 潜在威胁与可利用威胁。
你如何轻松区分这两者?答案很简单 - 漏洞评估和渗透测试(VAPT)。
简介:VAPT的背景故事
漏洞评估和渗透测试(VAPT)起初可能听起来像AppSec场景的新术语,但实际上,它只是两个常见(非常重要)应用程序安全活动的组合。 VAPT通过渗透测试将漏洞评估测试结合在一起。
漏洞评估是使用各种工具和技术检查您的应用程序,以发现潜在的漏洞。这是通过应用程序安全测试工具(在下面的资源部分详细介绍)完成的。
威胁作为流程的一部分进行识别,分类和优先排序。不同的工具可以更好地识别不同类型的漏洞,因此重要的是不要仅依靠一种工具进行漏洞评估。
漏洞评估工具非常适合查明可能使您的应用程序受到攻击的威胁。他们确定了理论上的漏洞。
但是,您如何知道这些威胁是否真的可以利用?在现实世界中,攻击者是否可以通过这些漏洞访问您的应用程序?这是渗透测试变得非常宝贵的地方。
渗透测试(通常称为笔测试)是主动攻击您的应用程序以确定是否可以实际利用潜在漏洞的过程。通俗地说,它是针对您的应用程序的模拟攻击(通常手动完成,但我们建议使用自动选项),可以针对应用程序中的代码和系统执行,例如API和服务器。
渗透测试有几种方法可以采用:
- 外部 - 攻击主要针对外部用户和攻击者可见的系统和资产。
- 内部 - 可以从防火墙后面攻击应用程序。
- 盲目 - 这模拟了实时攻击,测试人员只使用公司名称进行武装。
- 双盲 - 类似盲目测试,但安全团队没有被告知模拟,测试他们响应实时攻击的能力。
- 针对性 - 笔测试的培训方法,其中笔测试者和安全团队通知对方,以了解攻击者如何进入应用程序以及安全可以采取哪些步骤来进行强有力的防御。
VAPT强调了重要的一点,即没有一种类型的测试可以提供全面的应用程序安全性。漏洞评估和渗透测试都是必要的。实际上,在一种类型的测试中减少或减少打开会使应用程序出现漏洞。
适当的VAPT方法有几个步骤,例如:
- 规划范围 - 确定将在测试中包含哪些系统和代码以及将使用哪些测试方法。
- 数据收集 - 收集有关攻击目标的数据。
- 漏洞检测 - 识别应用程序的潜在漏洞和威胁。使用漏洞扫描程序等工具发现目标上的其他信息。
- 获取和维护访问权限 - 笔测试人员试图访问应用程序,看看他们是否可以进入。一旦进入系统,测试人员就会确定他们可以被忽视多长时间以及他们可以造成多大的伤害。
- 覆盖轨道 - 对应用程序所做的任何更改都是隐藏的,因此攻击正在进行中并不明显。
- 报告 - 必须分析和记录VAPT测试的结果。这包括需要解决的威胁的建议和优先级。
完美结合:VAPT的好处
- 全面的应用程序安全性 - 您可以放心,您的应用程序将在内部和外部彻底检查不同类型的漏洞。
- 信誉管理 - 受损的应用程序对业务不利。恢复通常是漫长而缓慢的道路。 VAPT降低了攻击发生的可能性。
- 数据安全性 - VAPT可创建更安全的应用程序,提高数据安全性并保护您的知识产权。
- 改进的合规性 - VAPT测试可确定您的应用是否符合某些行业标准和法规,例如PCI-DSS和ISO / IEC 27002.如果您想避免昂贵的罚款,这是必要的。
- 应用程序安全性内置于流程中 - 使用VAPT在开发期间测试应用程序使安全性成为流程的一部分。这是构建安全应用程序的有效且负责任的方式。替代方案(威胁被利用后的昂贵修复)浪费资金和资源。
资源:VAPT测试工具
漏洞评估工具
- 静态应用程序安全性测试(SAST)工具 - 自动检查潜在漏洞的源代码,字节代码和应用程序二进制文件。例子包括Veracode和CodeSonar。
- 动态应用程序安全性测试(DAST)工具 - 模拟真实的攻击者,从外部接近应用程序以确定哪些威胁可被利用。正在运行的应用程序需要使用这些工具。
- 交互式应用程序安全性测试(IAST)工具 - 通过在应用程序运行时使用应用程序内部的信息来识别漏洞,从而结合SAST和DAST工具的优势。需要注意的是,这些工具会对应用程序性能产生负面影响。提供IAST工具的供应商包括Acunetix和Contrast Security。
- 软件组合分析(SCA)工具 - 分析应用程序中使用的第三方源代码,库和框架,以识别安全漏洞和许可问题。当然,这意味着您需要拥有所使用的所有第三方组件的更新和准确的列表。例子包括Black Duck和Sonatype。
渗透测试工具
- Burp Suite - 用于Web应用程序安全性测试的图形工具,可以检测SQL注入,跨站点脚本和其他漏洞。有免费版本和更强大的付费选项。
- OWASP Zed攻击代理(ZAP) - 一款免费工具,可帮助笔测试人员识别漏洞。
- 代码脉冲 - 一种开源工具,可在笔测试期间自动检测覆盖范围。在执行代码时,应用程序攻击面的可视化表示会实时更新,通知笔测试人员应用程序的哪些部分已经过测试。
- 攻击面检测器 - 一种开源工具,可自动识别所有未链接或隐藏的端点,其参数和数据类型。然后,可以使用此数据预先播种OWASP ZAP或Burp Suite(均在上面列出)。 Attack Surface Detector既是标准命令行界面,也是ZAP和Burp Suite的插件。
VAPT工具
考虑使用上述所有工具来管理漏洞评估和渗透测试可能看起来势不可挡。幸运的是,还有另一种工具可以帮助理解无数的结果。
应用程序漏洞关联(AVC)工具简化了管理多个工具结果的过程。市场上更强大的AVC工具甚至通过关联静态和动态测试结果提供支持VAPT的功能。
好处包括:
- 混合分析 - 结合SAST工具和DAST工具的结果,确定哪些潜在漏洞实际可利用。这增加了VAPT测试的全面性,并提供了潜在漏洞可利用的证据。这些是您首先需要修复的漏洞。
- 升级 - 用户可以升级发现并记录漏洞的利用方式。
- 重复数据删除 - SAST,DAST,IAST,SCA和笔测试工具的结果与一个报告相关联。删除重复项,使结果更容易消化。手动测试的结果也可以输入到系统中,因此这些结果包含在重复数据删除中。
- 补救管理 - 标记包含漏洞的特定代码行,使补救更容易。可以通过中央控制台为团队成员分配任务,并使用跟踪选项确保及时纠正问题。
- 合规性检查 - 根据HIPAA,DISA-STIG和PCI-DSS等法规自动检查您的代码库。标记违规行代码,并识别特定违规行为。
- 工作流集成 - 许多AVC工具支持集成到开发人员环境中,例如Eclipse和Jenkins。开发人员会收到当前系统中的漏洞警报,而不是引入另一个管理工具。
通过VAPT进行漏洞评估和渗透测试的结合是强大而合乎逻辑的。可能的威胁列表缩小到真正的罪魁祸首,因此您知道在哪里集中注意力以获得最大的应用程序安全性。
原文:https://codedx.com/the-perfect-union-vulnerability-assessment-and-penetration-testing-vapt/
本文:http://pub.intelligentx.net/node/472
讨论:请加入知识星球或者小红圈【首席架构师圈】
- 305 次浏览