Posiblemente te has preguntado si tu plataforma, aplicación, web o webservice está totalmente blindada ante posibles ataques. O puede que algún cliente, antes de comprar o usar tu aplicación, te haya preguntado si esta ha pasado o está pasando de forma persistente alguna auditoría de ciberseguridad SAST o DAST.
Hay que tener en cuenta que la mayoría de filtraciones de datos, volcado de bases de datos, robo de credenciales, autenticaciones no deseadas, etc. se producen a través de plataformas, webservices o apps, las cuales tienen brechas de seguridad ya planteadas en su diseño inicial o en su fase de desarrollo o de producción.
¿Por qué se producen estos incidentes?
Estos incidentes no se producen debido al típico fallo humano en sí (como podría ser la
activación de un ransomware de forma involuntaria). Más bien suelen ocurrir por un fallo conceptual, una falta de persistencia, una falta de conocimiento a lo que al desarrollo de aplicaciones seguras se refiere (sea en uso de frameworks, codificación, manejo de bases de datos, etc.) o, en muchos casos, debido a la rapidez en que se pasan a producción por temas de productividad, donde se obvia el término seguridad.
Así mismo, también van surgiendo nuevas vulnerabilidades de componentes considerados seguros hasta ese mismo momento.
En Serviclients nos caracterizamos y somos partidarios de realizar de forma manual las
máximas pruebas que sean posibles (de penetración, modificación de paquetes, inyección, autenticación contra las aplicaciones), así como la interpretación de su resultado. Este siempre resultará más realista que en el caso de utilizar solo herramientas automatizadas, cuya interpretación es efectuada por una máquina.
Diferencias entre SAST y DAST
La aplicación de pruebas de seguridad es esencial en el desarrollo de software para garantizar que los sistemas sean resistentes a las amenazas y estos dos métodos son de lo más común a la hora de evaluar dicha seguridad. A continuación, describiremos brevemente las principales diferencias entre ambas pruebas y como ejecutarlas de manera satisfactoria.
Análisis SAST (Static Application Security Testing)
Prueba estática en modalidad Caja Blanca (White Box). Con conocimiento y acceso interno a la aplicación.
Utilizamos herramientas, manuales y otras soluciones automáticas para analizar el código fuente y la arquitectura de la aplicación para detectar posibles fallos de seguridad en las primeras fases o en fases medias de desarrollo. Estas pruebas también las realizamos al combinar varios componentes en un entorno de pruebas con la aplicación ya finalizada o lo que sería una copia de un entorno de producción.
Si bien se analiza el código en búsqueda de vulnerabilidades, hay partes esenciales que en las
pruebas SAST no se analizan como las fases de autenticación y logueo, ya que ninguna herramienta automática puede realizarla de forma eficiente, y en este punto es donde ejecutaríamos las pruebas DAST.
Análisis DAST (Dynamic Application Security Testing)
Prueba dinámica en modalidad Caja Negra (Black Box).
Como si no tuviéramos conocimiento alguno de la arquitectura interna de la aplicación ni tecnología utilizada, tampoco acceso al código, analizamos todas las funcionalidades en búsqueda de vulnerabilidades y brechas. Observamos y evaluamos el comportamiento en tiempo de ejecución, como autenticaciones, configuraciones de los servidores, cifrado, bases de datos, configuraciones lógicas, etc …
Hay que tener en cuenta que el análisis DAST también lo podemos realizar en fase de desarrollo.
Desde Serviclients, recomendamos realizar una mezcla de ambas pruebas (SAST y DAST) de
forma híbrida, de esta manera podremos asegurar el máximo blindaje posible de tu aplicación,
que esté libre de vulnerabilidades y de brechas para evitar posibles ataques.
Si necesitas más información sobre los análisis SAST y DAST o no sabes cuál es el más
adecuado para tu aplicación, ya esté en desarrollo o en producción, no dudes en ponerte en
contacto con nosotros y te ayudaremos.
