DAST
Las pruebas de seguridad de aplicaciones dinámicas (DAST) de Fluid Attacks detectan vulnerabilidades de seguridad conocidas y de día cero en tus aplicaciones mientras estas están en ejecución. Esta forma de prueba de caja negra (que no requiere acceso al código fuente), tiene como objetivo encontrar rápidamente debilidades en tu software que podrían ser explotadas por hackers maliciosos. DAST es una técnica con buenos resultados detectando fallas relacionadas a datos, configuración de despliegue y la lógica de negocio de las aplicaciones, y funciona independientemente del lenguaje en el que se desarrolló el software. Todo el DAST automático está respaldado por el trabajo de pentesting manual de nuestros experimentados miembros del red team, que mejoran continuamente las tecnologías y metodologías de prueba.
These are the benefits of DAST
Simulación de ataques
A través de esta técnica “outside-in”, podemos simular interacciones potenciales de hackers maliciosos con tus aplicaciones, observando cómo responderían estas últimas a los ataques de los primeros, con el fin de detectar vulnerabilidades no encontradas a través de otro tipo de metodologías.
Pruebas desde las primeras fases
Mientras que la técnica DAST en muchos casos se aplica sobre una aplicación en ejecución después de producción, en DevSecOps se puede desplazar a la izquierda para detectar más temprano vulnerabilidades en ambientes internos de pre-producción, ahorrando así tiempo y dinero.
Tasas mínimas de falsos positivos
Los hackers éticos de Fluid Attacks verifican continuamente lo que se obtiene automáticamente a través de esta técnica, y complementan las evaluaciones con DAST manual para lograr tasas muy bajas de falsos positivos.
Escaneo basado en estándares
Gracias a las evaluaciones y reportes de DAST, y siguiendo los procedimientos de remediación necesarios, podrás cumplir con diversas políticas y regulaciones (por ejemplo, OWASP, PCI DSS, NIST, HIPAA, CWE, GDPR, CAPEC, NERC, ISO27K), que puedes definir según tus necesidades.
Evaluaciones teniendo en cuenta cambios
Los esfuerzos de nuestros hackers permiten que las evaluaciones DAST se ejecuten de forma gradual según la evolución de tu aplicación en tu SDLC. En otras palabras, después de un análisis global y para evitar retrasos, buscamos vulnerabilidades solo en los sectores que han sido modificados en la aplicación (siempre con varios hackers atacando varias veces el mismo objetivo).
Bajas tasas de falsos negativos
Una técnica DAST realizada tanto automática como manualmente nos permite garantizar bajas tasas de falsos negativos, a diferencia de lo que pueden conseguir las empresas que dependen exclusivamente de herramientas.
Un componente de pruebas exhaustivas
La técnica DAST puede complementarse con otras técnicas utilizadas en Fluid Attacks, como SAST, SCA, RE y pentesting manual, para constituir pruebas exhaustivas de seguridad de aplicaciones.