Dynamic application security testing (DAST)

Escrito por Daniela Velasco

Es una técnica en la que los evaluadores examinan una aplicación mientras se ejecuta, sin tener conocimiento de su diseño interno ni acceso al código fuente. Aunque todas las pruebas (SAST, SCA e IAST) son importantes para proteger y examinar el código, el DAST destaca por su capacidad para evaluar las respuestas de una aplicación a simulaciones de ataques, lo que ayuda a identificar posibles vulnerabilidades que podrían ser explotadas en un ataque real.

¿Cómo funciona DAST?
El funcionamiento del DAST consiste en simular ataques automatizados a una aplicación, imitando las acciones de un atacante malicioso.

¿Cual es el objetivo del DAST?
El objetivo es encontrar resultados inesperados que podrían ser utilizados por atacantes para comprometer la seguridad de la aplicación. Es importante tener en cuenta que las herramientas DAST no tienen información interna de la aplicación ni del código fuente, por lo que atacan como lo haría un hacker externo, con un conocimiento limitado sobre la aplicación.

¿Por qué deberías realizar una prueba DAST?
Realizar pruebas DAST es crucial debido al creciente uso de aplicaciones web y móviles, que ha llevado a un aumento de las vulnerabilidades y filtraciones de datos. En este contexto, es fundamental que las empresas protejan sus aplicaciones y su código.

Por eso te compartimos algunas razones por las que debes realizarlas:

  • El cambio a la nube y a las tecnologías de aplicaciones nativas de la nube está haciendo que las aplicaciones sean más complejas.

  • Los microservicios distribuidos masivamente y las funciones sin servidor significan que los desarrolladores se centran únicamente en sus propios servicios y nadie tiene una comprensión completa de todo el código base.

  • A medida que aumenta la cantidad de aplicaciones, las líneas generales de código de software implementadas en la nube amplían la superficie de ataque potencial.

  • Con más organizaciones enfocadas en la transformación digital, el conocimiento del código heredado está disminuyendo a medida que los desarrolladores se retiran o cambian de roles.

  • El predominio del software de código abierto y de terceros hace que las aplicaciones sean de naturaleza más compuesta. Como resultado, una cantidad significativa del código de la aplicación se desarrolla fuera del alcance de la organización.

  • Las metodologías DevOps ayudan a los equipos de desarrollo a moverse más rápido, pero dejan poco tiempo para verificaciones de seguridad manuales u obsoletas

En Resumen, el DAST es una técnica esencial para evaluar la seguridad de las aplicaciones, ya que simula ataques automatizados y ayuda a identificar posibles vulnerabilidades. En un contexto donde las aplicaciones son cada vez más complejas y la cantidad de código implementado en la nube aumenta, es fundamental proteger las aplicaciones y el código. Además, la transformación digital y el uso de software de código abierto y de terceros plantean nuevos desafíos en términos de seguridad.

#EfectoMaestre

Daniela Velasco
Anterior

Software composition analysis (SCA)
Siguiente

Es mejor prevenir que detectar y responder.