Kiểm thử Bảo mật ứng dụng
1. Application Security Testing (AST)
Bảo mật ứng dụng nhằm mục đích bảo vệ mã ứng dụng phần mềm và dữ liệu chống lại các mối đe dọa, chúng ta nên áp dụng bảo mật ứng dụng trong tất cả các giai đoạn phát triển, bao gồm cả thiết kế, phát triển và triển khai trong vòng đời phát triển phần mềm (SDLC)
Kiểm tra bảo mật ứng dụng nhằm loại trừ khả năng code bị trục trặc và đảm bảo ứng dụng chạy bình thường sau khi phát triển, từ đó giảm thiểu thiệt hại cao nhất, đảm bảo khả năng phòng chống tốt hơn các mối đe dọa bảo mật bằng cách xác định và khắc phục các lỗ hổng bảo mật.
2. Các loại kiểm tra bảo mật ứng dụng
Có ba loại kiểm tra bảo mật ứng dụng chính:
- Kiểm tra bảo mật hộp đen hệ thống kiểm tra không có quyền truy cập vào nội bộ của hệ thống được kiểm tra mà chỉ được đứng ở bên ngoài kiểm tra và phát hiện ra các lỗ hổng.
=> Hạn chế: Nó không thể kiểm tra các điểm yếu bảo mật cơ bản của các ứng dụng.
- Kiểm tra bảo mật hộp trắng hệ thống thử nghiệm có toàn quyền truy cập vào nội bộ của ứng dụng được thử nghiệm, có quyền truy cập trực tiếp vào mã nguồn của ứng dụng. Có thể xác định được lỗ hổng cơ bản (code, cấu hình,…)
=> Hạn chế chỉ khai thác được lỗ hổng trong quá trình sản xuất
- Kiểm tra bảo mật hộp xám, hệ thống thử nghiệm có quyền truy cập vào thông tin hạn chế về nội bộ của ứng dụng được thử nghiệm. Có thể giúp hiểu người dùng có đặc quyền truy cập cấp độ nào và mức độ thiệt hại mà họ có thể gây ra nếu tài khoản bị xâm phạm. Mô phỏng các mối đe dọa nội gián hoặc những kẻ tấn công đã xâm phạm.
=> Mang lại hiệu quả cao vì nó kết hợp được 2 phương pháp trên
3. Các công cụ và giải pháp bảo mật ứng dụng
- Tường lửa ứng dụng web (WAF): WAF giám sát và lọc lưu lượng HTTP truyền giữa ứng dụng web và Internet. Công nghệ WAF không bao gồm tất cả các mối đe dọa nhưng có thể hoạt động cùng với một bộ công cụ bảo mật để tạo ra một hệ thống phòng thủ toàn diện chống lại các vectơ tấn công khác nhau.
- Ứng dụng tự bảo vệ thời gian chạy (RASP): Các công cụ RASP có thể xác định các điểm yếu bảo mật đã bị khai thác, chấm dứt các phiên này và đưa ra cảnh báo để cung cấp biện pháp bảo vệ tích cực.
- Phân tích thành phần phần mềm (SCA): Công cụ SCA sử dụng để tìm các thành phần của bên thứ ba có thể chứa các lỗ hổng bảo mật.
- Kiểm tra bảo mật ứng dụng tĩnh (SAST): SAST có thể giúp tìm ra các vấn đề, chẳng hạn như lỗi cú pháp, vấn đề xác thực đầu vào, tham chiếu không hợp lệ hoặc không an toàn hoặc lỗi toán học trong mã không được biên dịch.
- Kiểm tra bảo mật ứng dụng động (DAST): DAST có thể giúp xác định các vấn đề như chuỗi truy vấn, việc sử dụng tập lệnh, yêu cầu và phản hồi, rò rỉ bộ nhớ, xác thực, xử lý cookie và phiên, thực thi các thành phần của bên thứ ba, chèn DOM và đưa vào dữ liệu.
- Kiểm tra bảo mật ứng dụng tương tác (IAST): Các công cụ của IAST có thể giúp khắc phục dễ dàng hơn bằng cách cung cấp thông tin về nguyên nhân gốc rễ của các lỗ hổng và xác định các dòng mã cụ thể bị ảnh hưởng. Các công cụ này có thể phân tích luồng dữ liệu, mã nguồn, cấu hình và thư viện của bên thứ ba.
- Kiểm tra Bảo mật Ứng dụng Di động (MAST): Các tổ chức sử dụng các công cụ MAST để kiểm tra các lỗ hổng bảo mật và các vấn đề dành riêng cho thiết bị di động, chẳng hạn như bẻ khóa, rò rỉ dữ liệu từ thiết bị di động và mạng WiFi độc hại.
- CNAPP: Công nghệ CNAPP thường kết hợp quản lý quyền nhận dạng, phát hiện và bảo vệ API, tự động hóa và bảo mật điều phối cho các nền tảng điều phối vùng chứa như Kubernetes.
Red Team
--------------------------
Xem thêm các bài viết liên quan:
