حملات زنجیره تامین، حملات تزریقی، حملات جعل درخواست سمت سرور – همه این تهدیدها، و موارد دیگر، آسیبپذیریهای نرمافزاری را قربانی میکنند. آسیب پذیری ها می توانند از پیکربندی نادرست تا طراحی معیوب و نقص یکپارچگی نرم افزار متغیر باشند. به طور کلی، برنامه های کاربردی هستند رایج ترین بردار حملهطبق تحقیقات Forrester، 35٪ از حملات از نوعی آسیب پذیری نرم افزار سوء استفاده می کنند.
تمرکز بر امنیت نرم افزار، همراه با گسترش ابزارهای تست امنیت نرم افزار، در چند سال گذشته رشد کرده است، تا حدی به لطف حملات زنجیره تامین مانند حملات Stuxnet و SolarWinds. و همانطور که سازمان ها حضور وب خود را گسترش می دهند، خطر بیشتری از همیشه وجود دارد. در نهایت، حرکت به سمت DevSecOps سازمانهای بیشتری را تشویق کرده است که تست امنیتی را در مرحله توسعه نرمافزار قرار دهند.
دور نگه داشتن حملات نرمافزاری مستلزم تلاشهای فزاینده در مورد آزمایش است – و نه تنها در پایان توسعه. برای کسانی که در حال توسعه نرم افزار در خانه هستند، نرم افزار باید زود و اغلب آزمایش شود. انجام این کار می تواند تأخیرها و هزینه های اضافی را که هنگام بازنویسی نرم افزار در پایان چرخه تولید رخ می دهد، کاهش دهد.
در مورد نرم افزارهایی که به صورت خارجی توسعه یافته اند، عاقلانه ترین رویکرد این است که قبل از قرار دادن آن در تولید در مقیاس کامل، از طریق چندین روش آزمایش شود.
جانت ورتینگتون، تحلیلگر ارشد امنیت و ریسک در Forrester، گفت: “پیشگیری از مشکلات همیشه آسان تر از یافتن مشکلات در طول تولید است، بنابراین انجام تست های امنیتی از ابتدا بسیار منطقی است.”
کوه های ابزارهای تست امنیت نرم افزار
یکی از مهمترین ابزارهای تست برای جلوگیری از تشدید تهدیدات، تست تحلیل استاتیک است.
این نوع تست که به آن تست امنیت برنامه استاتیک (SAST) نیز میگویند، کد نرمافزار یا باینریهای کاربردی آن را تحلیل میکند تا برنامهها را از نظر ضعف امنیتی کد مدلسازی کند. این به ویژه در ریشه کن کردن حملات تزریقی خوب است. تزریق SQL حملات یک بردار حمله رایج هستند که یک پرس و جوی SQL را از طریق داده های ورودی از مشتری به برنامه وارد می کند. اغلب برای دسترسی یا حذف اطلاعات حساس استفاده می شود.
ابزارهای SAST همچنین میتوانند به شناسایی آسیبپذیریهای جعل درخواست سمت سرور (SSRF) کمک کنند، جایی که مهاجمان میتوانند سرورها را مجبور کنند درخواستهای HTTP جعلی را به یک سیستم یا دستگاه شخص ثالث ارسال کنند. ابزارهای SAST می توانند به شناسایی این آسیب پذیری ها قبل از رسیدن به تولید کمک کنند.
یکی دیگر از ابزارهای مهم تست، تجزیه و تحلیل ترکیب نرم افزار است. این ابزارها به جلوگیری از ورود اجزای مخرب به خط لوله کمک می کنند. آنها به دنبال آسیبپذیریهای شناخته شده در همه مؤلفهها، از جمله مواردی که در کتابخانههای منبع باز و شخص ثالث هستند، میگردند. آسیب پذیری هایی مانند Log4J به محبوبیت این نوع ابزار تست کمک کرده اند. طبق گفته Forrester، اکنون چهل و شش درصد از توسعه دهندگان از ابزارهای تجزیه و تحلیل ترکیب نرم افزار برای آزمایش استفاده می کنند.
انواع مهم دیگر ابزارهای تست امنیت نرم افزار عبارتند از:
- اسکن آسیب پذیری: در حالی که این ابزارها بر یافتن تمرکز دارند امنیت برنامه آسیب پذیری های سراسری، نسخه های تخصصی نیز برای یافتن نقاط ضعف در برنامه های تحت وب وجود دارد. آنها به ویژه برای یافتن تهدیدهایی مانند تزریق SQL، پیمایش مسیر، پیکربندی سرور ناامن، تزریق فرمان و اسکریپت بین سایتی مفید هستند.
- تست امنیت برنامه پویا (DAST): این نوع آزمایش با شبیه سازی حملات به نسخه زمان اجرا یک برنامه، رویکرد «جعبه سیاه» را در پیش می گیرد. DAST معمولاً در طول تست های اتوماسیون یکپارچه یا انتها به انتها اجرا می شود. Forrester دریافت که 44٪ از تیم های توسعه قصد دارند قبل از انتشار نرم افزار از DAST استفاده کنند.
- تست API: امروزه APIها همه جا هستند. در حالی که API ها همیشه یک نگرانی اصلی نیستند، اما از تهدیدات امنیتی در امان نیستند. با این حال، گارتنر دریافته است که APIهای مدیریت نشده و ایمن، آسیبپذیریهای زیادی ایجاد میکنند که فقط توسط مدیریت میشوند. امنیت API تست و کنترل دسترسی API.
- تست امنیت برنامه های تعاملی (IAST): این روش با استفاده از ماژول های حسگر برای نظارت بر رفتار نرم افزار در مرحله آزمایش، نرم افزار را از نظر آسیب پذیری در حین اجرا آزمایش می کند. اگر IAST مشکلی مانند تزریق SQL یا تزریق اسکریپت بین سایتی را شناسایی کند، یک هشدار ارسال می کند. به عنوان یک نوع جدیدتر از آزمایش، IAST اغلب توسط تیم هایی انجام می شود که قبلاً تست استاتیک و پویا را انجام می دهند. نسبت به سایر انواع آزمایش، میزان مثبت کاذب کمتری دارد.
- تست نفوذ. همچنین به عنوان هک اخلاقی شناخته می شود، تست قلم شامل آزمایش برنامههای کاربردی برای آسیبپذیری و حساسیت به تهدیدات، معمولاً توسط یک طرف خارجی است. تست های قلم می توانند چیزهای زیادی را کشف کنند، از اشکالات نرم افزاری و خطاهای پیکربندی گرفته تا حملات زنجیره تامین.
بسته به نوع تهدید، پلتفرم و سایر عوامل، سازمان ها ممکن است انواع مختلفی از ابزارهای آزمایش را به کار گیرند. برخی از برنامه ها ممکن است به ابزارهای آزمایشی نیز نیاز داشته باشند که در لیست بالا نیستند. برای مثال، برنامهای که شامل امضای رمزنگاری میشود، احتمالاً به ابزار تحلیل رمزنگاری نیاز دارد. به همین دلیل است که امروزه، بیش از هر زمان دیگری، استفاده از بیش از یک نوع ابزار تست نرم افزار مهم است.
“اگر می خواهید تا حد امکان دقیق باشید، می خواهید تست SAST را برای یافتن آسیب پذیری ها در کد منبع، SCA برای اجزای منبع باز و DAST برای آزمایش برنامه تحت وب در حال اجرا انجام دهید.ری کلی، یکی از همکاران Synopsys که ابزارهای امنیتی و تست نرم افزار را ارائه می دهد، گفت. “این واقعاً در مورد یافتن ابزار مناسب برای موقعیت خاص شما است.”
نحوه انتخاب ابزارهای تست امنیت نرم افزار
هیچ کمبودی در ابزار وجود ندارد و غربال کردن گزینه ها می تواند گیج کننده باشد. به طور کلی، ابزارهای منبع باز، بهترین ابزار از فروشندگان و پلتفرم های تست نرم افزار اختصاصی وجود دارد.
ابزارهای منبع باز ماهیت بسیار تاکتیکی دارند و بر یک چیز متمرکز هستند. به عنوان مثال می توان به OWASP ZAP، یک اسکنر امنیتی برنامه وب رایگان اشاره کرد. بررسی کننده کیفیت و آسیب پذیری کد رایگان Snyk. SQLmap یا Metasploit برای تست نفوذ. SonarQube برای امنیت کد؛ و FOSSA برای تست وابستگی منبع باز.
البته بسیاری از بهترین ابزارها با پرداخت هزینه از فروشندگان مختلف در دسترس هستند.
و سپس پلتفرمهای تست نرمافزار اختصاصی، مانند HCL AppScan و HP Fortify، و همچنین پلتفرمهایی از فروشندگانی مانند Veracode، Checkmarx، Synopsys، Palo Alto Networks و Aqua Security وجود دارند.
آرون ترنر، معاون Vectra AI، یک فروشنده تشخیص و پاسخ به تهدید، گفت: در بیشتر موارد، سازمانها بهترین کار را برای ترکیب انواع مختلف ابزار از منابع مختلف انجام میدهند. “اگر یک پلت فرم تست نرم افزار را با بهترین ابزارهای آزمایشی منتخب، چه منبع باز یا اختصاصی ترکیب کنید، می توانید مطمئن باشید که تمام امتیازات خود را کسب خواهید کرد، زیرا هیچ پلتفرمی وجود ندارد که بتواند همه کارها را انجام دهد.”
اگر بودجه مشکل است، Worthington توصیه می کند که با نسخه رایگان یک ابزار تست شروع کنید، که اکنون بسیاری از فروشندگان آن را ارائه می دهند. به عنوان مثال، Snyk که به دلیل ابزار تجزیه و تحلیل ترکیب نرم افزاری خود شناخته شده است، یک نسخه متن باز رایگان دارد. پس از اثبات ارزشمند بودن ابزار، سازمان می تواند تصمیم بگیرد که آیا برای نسخه کامل هزینه پرداخت کند یا خیر.
مشاوره از کارشناسان
کلی توصیه کرد قبل از شروع تست امنیت نرم افزار، تیم خود و توانایی های آن را بشناسید.
در بسیاری از موارد، توسعه نرم افزار [or evaluation] کلی توضیح داد که تیمها غرق ویژگیها، درخواستهای محصول و روشهای استقرار چابک هستند. “اغلب، آنها هر هفته یک محصول جدید ارسال می کنند، اگر نه هر روز، و گاهی اوقات امنیت در پشت صندلی قرار می گیرد. ارزش آن را دارد که وقت بگذارید و واقعاً تحلیل کنید که چه برنامه هایی واقعاً در محیط شما امروز اجرا می شوند، چه خطراتی دارند و چشم انداز تهدید چیست. وقت بگذارید و آن موجودی را تهیه کنید و یک خط پایه به دست آورید.”
و قبل از متعهد شدن به هر ابزار یا روش آزمایشی، مطمئن شوید که اهمیت نسبی نرم افزار در محیط خود را در نظر گرفته اید. “اگه تو هستی یک اپراتور خط لوله گاز طبیعی و شما به یک نرم افزار خاص برای راه اندازی خط لوله متکی هستید، احتمالاً زمان و تلاش بسیار بیشتری را صرف آزمایش آن قطعه نرم افزار کنترل صنعتی خواهید کرد تا اینکه وردپرس را که وب سایت شما را اجرا می کند، آزمایش کنید. ترنر گفت.
در نهایت، مهم است که با پیشرفت های امنیتی نرم افزار همراه باشید. این بدان معناست که نه تنها در وبلاگها و پادکستهای مرتبط مشترک شوید، بلکه از مشاورههای دولتی (مثلاً از طریق آژانس امنیت سایبری و امنیت زیرساخت) مطلع شوید و پایگاه داده آسیب پذیری ملی NIST.
درباره نویسنده
کارن دی. شوارتز یک نویسنده فناوری و تجارت با بیش از 20 سال تجربه است. او درباره طیف وسیعی از موضوعات فناوری برای نشریات از جمله CIO، InformationWeek، GCN، FCW، FedTech، BizTech، eWeek و دولت اجرایی نوشته است.