Рубрики
Uncategorized

Как объединить Pentest с автоматией для повышения вашей безопасности

Если вы участвовали в разработке программного обеспечения в последние годы, то вам следует … Теги от кибербезопасности, автоматизированы, SecurityScanning, Devops.

Если вы участвовали в разработке программного обеспечения в последние годы, вы должны знать о терминате «тестирование проникновения».

Тестирование проникновения (или Pentest) так же популярно как никогда. Я продолжаю найти организации, которые тратят много денег на Pentest в качестве основных средств безопасности, периодически тестируют, пока они находятся в производстве, но они все еще постоянно взломаны.

Новые цифровые технологии и современные компьютерные платформы позволяют организациям быстро доставлять новые продукты и услуги, создавать Agile Business Models и потоки доходов и повысить операционную эффективность.

Однако развертывание изменений быстрее — это обоюдоострый меч. Рассмотрим на мгновение, что происходит, когда изменения содержат ошибки — или проблемы безопасности? Если нет систем, находящихся на месте, чтобы охранять недостаточные изменения, которые выделяются, мы рискуем приносить наши системы намного быстрее.

В этой сложной программной среде предприятия требуют нового подхода: ежегодные аудиты больше не достаточно. В этой статье мы объясним, как вы можете объединить вручную тестирование проникновения с автоматическим тестированием безопасности, чтобы улучшить вашу безопасность.

Новые методы для современных приложений

Сочетание вручную тестирование проникновения и автоматизированное тестирование безопасности приводит к всеобъемлющему и эффективному подходу к безопасности. Хотя они разные, они не являются взаимоисключающими.

Углубленные ручные вегетаторы сорняки из комплексных векторов атаки. Тем не менее, сумма кода, который выдвинул в прямом эфире каждый день, представляет собой проблему, поскольку все более сложно для команд безопасности отслеживать последние угрозы. С помощью автоматизированных инструментов проблемы могут быть обнаружены до того, как новый код попадет в производство.

Каковы преимущества сочетания годового тестирования по проникновению и автоматизированное тестирование безопасности?

Используя автоматизированные инструменты, разработчики могут определить и решать проблемы безопасности на протяжении всего цикла разработки. Итак, в то время как команда вашей разработки решает проблемы безопасности перед реализацией обновлений производства, Pentesters сосредоточится на сложных векторах, оптимизация времени и стоимости.

Как вы можете автоматизировать ваши тестирования безопасности?

Если у вас есть эксперт по вашей команде или некоторое свободное время в вашем спринте, вы можете интегрировать инструменты включения и открытых источников, таких как Nessus, Acunetix, Vega, OpenVAS и т. Д. Для улучшения безопасности вашей платформы.

Эти инструменты имеют разные подходы к компьютерной безопасности, а компании часто используют несколько решений для проверки своей безопасности с каждой точки зрения.

Сначала вы должны создать сценарии, которые общаются с каждым инструментом через его API. Затем вы можете автоматизировать сканирование и отчетность; Вы можете сделать это с Jenkins, Cron Jobs или путем интеграции обратного вызова WebHook в трубопроводе непрерывной интеграции.

Этот процесс потребляет много времени, требует анализа каждого решения и разработки новых скриптов для адаптации каждого инструмента. Интеграция нескольких инструментов является проблемой и непрерывным упражнением.

В качестве примера одной возможной интеграции Вы можете использовать этот код, разработанный в Python Для выполнения сканов уязвимости с помощью OpenVAS.

Большинство коммерческих инструментов дорогими к лицензии и, как правило, зависят от внутреннего сервера, поэтому нет никакого решения, которое позволяет небольшим и средним компаниям и разработчикам получить результаты качества по низкой цене. Большинство из этих технологий были разработаны до подъема Agile Methodologies в цикле развития, поэтому время доставки проекта часто затронуты, или компании имеют дилемму доставки проекта, а затем создания безопасности позже (что часто не сделано).

В сторону: Hackmetrix.

Hackmetrix выполняет полностью автоматизированные тесты для определения проблем безопасности в вашем веб-приложении. Мы объединяем лучшие инструменты на рынке, как с открытым исходным и инструментам, разработанным нашей командой, что преуспевает, где традиционные инструменты падают.

Разработчики обычно имеют обширное отставание от вещей, чтобы сделать, а тестирование безопасности часто падает между трещинами из-за ограниченного времени. Это также невозможно для любого одного разработчика вручную, чтобы вручную тестировать вручную тестировать их код при поддержке последних уязвимостей. Используя автоматизированные инструменты, Hackmetrix помогает поймать проблемы безопасности перед каждым новым выпуском и как часть нормального рабочего процесса разработчика.

Лучшая часть: вы можете начать бесплатно.

Заключение

С помощью инструментов, представленных в этой статье, вы можете применить автоматизированные тестирования безопасности на гораздо более сложные проекты. Вы могли бы даже попробовать инструменты, похожие на используемые здесь, такие как разные сканеры или новые библиотеки.

Я с нетерпением жду встречи с тем, что вы строите. Ваше здоровье!

Отказ от ответственности: Я генеральный директор на Hackmetrix, но не стесняйтесь вносить вклад!:)

Оригинал: «https://dev.to/adrielaraujoar/how-to-combine-pentest-with-automation-to-improve-your-security-4pkc»