Estoy trabajando para la compañía que escribió el estudio de caso Quotium ( enlace ), ¡pero intentaré ser objetivo en mi respuesta!
El punto no es encontrar vulnerabilidades, sino poder hacer que los desarrolladores solucionen rápidamente aquellas que suponen un riesgo real para su empresa y, específicamente, sus datos (ámbito principal de los piratas informáticos).
¿Por qué?
Cuando se está desarrollando en un entorno Agile con ciclos de lanzamiento cortos. No puede detener el proceso para realizar SAST + DAST, analizar informes, evaluar resultados, solucionar problemas en funciones no utilizadas, analizar código (en algún momento ubicado en terceros) para identificar la fuente, comprender falsos ecc positivos ... ¡No hay tiempo!
El problema principal con SAST y DAST es tiempo y experiencia . Para ambos, necesita análisis de impacto y análisis de corrección de código. SAST + DAST no es ágil.
SAST y DAST solo conocen un lado del sistema, no miran las vulnerabilidades en un contexto de amenaza general y contexto de datos. IAST lo hace, ya que rastrea los datos desde el front-end al back-end.
Un IAST real es una herramienta que se ha creado desde cero específicamente para actuar desde el punto de vista del pirata informático hasta el código.
IAST le ofrece la posibilidad de integrarse mejor en el proceso de desarrollo.
Por ejemplo, conectas tu herramienta IAST donde tienes tus servidores de compilación ... en un lado conectas tus scripts de prueba automatizados (selenio para ej.) en el otro lado, tu herramienta de seguimiento de errores. Tiene un proceso de prueba de seguridad automatizado que se ejecuta por la noche.
Por la mañana, sus desarrolladores encuentran su lista de códigos vulnerables con la solución a aplicar, un video de repetición del ataque en la aplicación probada, la ruta al código vulnerable en los diferentes componentes para poder parchear las interfaces de terceros si el código fuente no está disponible.
- Los desarrolladores se centran solo en vulnerabilidades probadas
- Los evaluadores tienen una visión clara de los riesgos de vulnerabilidades diseñados por OWASP Top 10, SANS / CWE, PCI ecc ... para GO / NO GO
¡Una gran ganancia de tiempo en el proceso!
Bueno, aquí no soy objetivo, pero es cómo funciona :)
Para ser objetivo:
Solo hay 2 herramientas que se han creado para ser IAST: Buscador de Quotium y Contraste de Aspecto.
Todos los demás proveedores intentaron fusionar herramientas separadas para marketing , ¡pero son DAST + SAST no IAST!
Tenemos clientes que implementaron IAST como un proceso continuo y continúan teniendo una herramienta SAST para auditoría.
SAST te ayuda a tener una mejor práctica de codificación segura. IAST aún encuentra vulnerabilidades después de SAST, pero IAST no resaltará la práctica de codificación no segura si la pieza de código no es tocada por un proceso vulnerable.
¡Así que es mejor que hagas IAST + SAST que DAST + SAST!