Mikä on oikea menetelmä sovellusten tietoturvan testaukseen? Millaisia haavoittuvuuksia eri menetelmät paljastavat? Pitääkö käyttää useita eri menetelmiä? Seuraavaksi käsitellään lyhyesti Veracoden palvelussa käytettäviä eri testausmenetelmiä ja tuodaan esille niiden vahvuuksia ja heikkouksia.
Staattinen analyysi (SAST)
Staattisessa analyysissä haavoittuvuuksia etsitään sovelluksen binääristä tai koodista.
- SAST voidaan integroida osaksi kehitysalustaa, ja skannaus voidaan käynnistää automaattisesti, jolloin se erityisesti DevOps -kehitystyölle sopiva väline.
- SASTia voidaan käyttää minkä tahansa sovelluksen tietoturvatestaukseen (web, työasema, mobiili jne), ja se kattaa laajan ohjelmointikielten ja sovelluskehittimien valikoiman
- SAST ei löydä loogisia virheitä
- Ei hyötyä sovelluskirjastojen tutkimiseen.
Sovelluskirjastojen analyysi (SCA)
SCA etsii haavoittuvuuksia avoimen lähdekoodin ja kolmannen osapuolen kirjastoista ym komponenteista.
- SCAn integrointi sovelluskehitysprosessiin on yksinkertaista, ja skannaukset ovat nopeita.
- Mahdollisista haavoittuvuuksista toipuminen voi olla helppoa, jos kirjasto voidaan vaihtaa uudempaan versioon, jossa haavoittuvuudet on korjattu.
- SCA ei ole myöskään mahdollinen uhka kehitystiimille, sillä SCA ei analysoi heidän koodiaan.
- SCA etsii haavoittuvuuksia vain kolmannen osapuolen komponenteista
- Ei löydä loogisia virheitä
Dynaaminen analyysi (DAST)
DASTin avulla voidaan sovellusta testata ajonaikaisessa ympäristössä. DAST tarkoittaa webbisovelluksen skannausta.
- DAST on yleisesti käytetty testausmenetelmä, koska sillä voidaan testata tuotannossa tai testiympäristössä olevaa sovellusta sovelluskoodin asemesta.
- Skannaus voidaan tehdä koodia käsittelemättä
- DAST löytää mahdolliset heikkoudet ja konfiguraatiovirheet palvelimen puolella.
- Koska DAST testaa tuotannossa olevaa sovellusta http-protokollalla, ei käytetyllä ohjelmointikielellä tai sovelluskehittimellä ole juurikaan merkitystä.
- DASTilla voidaan skannata vain web-sovelluksia joko tuotanto- tai testiympäristössä
- DAST ei löydä kovinkaan monimutkaisia loogisia virheitä
- Dynaaminen skannaus vie aikaa, joten se pitää tehdä esim. yön yli
Tunkeutumistestaus (pentestaus)
Luvallinen simuloitu hyökkäys, jolla testataan sovelluksen arkkitehtuuria, komponentteja ja sovelluskoodia suurimmaksi osaksi manuaalisella työllä.
- Tunkeutumistestauksessa hyödynnetään asiantuntijoiden osaamista ja menetelmiä, joiden avulla pyritään ohittamaan sovelluksen kontrollit
- Pentestin avulla löydetään erilaisia tietoturvaan liittyviä ongelmia, erityisesti loogisia virheitä
- Mahdollista ketjuttaa havaintoja jolloin testaamisen vaikuttavuus kasvaa
- Kohteena olevat sovellukset voivat olla hyvin erilaisia
- Testaus vie aikaa, se voi olla kallista ja tulokset vanhenevat nopeasti
- Testistä saattaa myös usein ennakoimatonta lisätyötä kehitystiimille, joten testi on suunniteltava huolellisesti
- Konsultti eli ihmistyövetoista
Perinteinen haavoittuvuusskannaus
Suunnitelmallinen infrastruktuuriin ja palvelimiin kohdistuva skannaus jolla löydetään käyttöjärjestelmätason ja infrastruktuurilaitteiden haavoittuvuudet
- Mahdollistaa suunnitelmallisen prosessin laaja-alaisten verkkokokonaisuuksien ja infrastruktuurin haavoittuvuushallintaan
- Vastaa tiettyihin regulaatiovaatimuksiin mm. PCI-DSS
- Testaus vie aikaa
- Tulosten hyödyntäminen vaatii yhteistyötä palvelinten omistajien sekä infrastruktuurin operoijien kanssa
- Tulosten hyödyntäminen vaatii toimivan prosessin
- Kattaa osittain valmisohjelmistot mutta ei kata oman sovelluskehityksen tuotoksia, koodia tai kirjastoja
Previous slide
Next slide
