DAST อาจเป็นอนาคตของ Application Security หรือ AppSec
วันนี้ผมจะขอพูดถึง DAST การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (Dynamic Application Security Testing) ซึ่งกลายเป็นสิ่งจำเป็นที่จะต้องมีไว้สำหรับ multi-tech web environments ที่ขยายวงกว้างและเปลี่ยนแปลงตลอดเวลาอยู่ในขณะนี้
โดย DAST แบบอัตโนมัติเป็นได้มากกว่าเครื่องมือทั่วๆ ไป และนี่คือเหตุผล 5 ข้อที่ชัดเจนว่าทำไม DAST จึงอาจเป็นอนาคตของ Application Security หรือ AppSec
1. ทดสอบทุกสิ่งทุกอย่าง แม้ว่าจะไม่รู้ว่ามันคืออะไร : DAST คือการสแกนหาช่องโหว่บนแอปพลิเคชัน ซึ่งในทางเทคนิคนั้นจะหมายถึงการทดสอบความปลอดภัยทั้งหมดที่ดำเนินการบนแอปพลิเคชันที่ทำงานอยู่
โดย DAST solutions ได้มีการพัฒนาจนกลายเป็นตัวเลือกที่ใช้งานได้จริงสำหรับการทดสอบความปลอดภัยเว็บแอปพลิเคชันแบบเต็มรูปแบบ ซึ่งโดยปกติแล้ว DAST จะใช้ทดสอบจากภายนอกเท่านั้นและไม่จำเป็นต้องรู้ว่าเกิดอะไรขึ้นภายใต้สิ่งที่ถูกปกปิดอยู่
สำหรับ DAST ที่มีคุณภาพดี สามารถสแกนภายในเว็บแอปพลิเคชันทั้งหมดและสำรวจทุกจุดที่อาจถูกโจมตีได้โดยไม่ต้องรู้หรือสนใจเกี่ยวกับระบบภายใน เช่น ภาษาโปรแกรม, Application Architecture, Deployment Details, External Dependencies และอื่นๆ โดยความเป็นจริงแล้ว การที่ใช้เครื่องมือจากภายนอกเข้ามาตรวจสอบระบบเป็นวิธีที่ช่วยในเรื่องของเฝ้าดูการถูกโจมตีเว็บของเรา
2. ทดสอบหลายจุดในวงจรการพัฒนาระบบซอฟต์แวร์ หรือ SDLC : ในขณะนี้การพัฒนาเว็บจำนวนมากจะใช้วิธีการแบบ Agile ในการใช้ระบบอัตโนมัติช่วยรวบรวมและควบคุมในขั้นตอนการพัฒนาแอปพลิเคชันหรือที่รู้จักกันว่า CI/CD Pipeline ซึ่งการทดสอบความปลอดภัยของแอปพลิเคชันจำเป็นที่จะต้องเป็นส่วนหนึ่งของห่วงโซ่อัตโนมัติ (Automated Chain) นั้นด้วย
โดยแต่ละขั้นตอนของวงจรการพัฒนาระบบซอฟต์แวร์ (Software Development Life Cycle หรือ SDLC) จะต้องใช้ชุดเครื่องมือทดสอบความปลอดภัยที่แยกกันอย่างชัดเจน
เนื่องจากสามารถทำการวิเคราะห์เชิงสถิตระหว่างการพัฒนา การสแกนช่องโหว่ในการแสดงขั้นตอนและการทดสอบในการผลิต แต่มันจะไม่เป็นเช่นนั้นอีกต่อไป เพราะความก้าวหน้าในช่วงทศวรรษที่ผ่านมาได้ขยายการใช้ประโยชน์จาก DAST solutions แบบอัตโนมัติใน SDLC อย่างมาก
3: ทดสอบได้บ่อยเท่าที่คุณต้องการโดยไม่มีค่าใช้จ่ายเพิ่มเติม : ปกติแล้ว code ทุกตัวจะต้องผ่านการทดสอบความปลอดภัยทั้งหมดในโปรแกรม AppSec สำหรับการทดสอบแบบ Dynamic pipeline CI/CD ต้องใช้การสแกนอัตโนมัติที่รวดเร็วและแม่นยำ เนื่องจากการทดสอบด้วยตนเองจะช้าเกินไปและใช้ทรัพยากรมากในการทำงาน
เครื่องมือ DAST รุ่นเก่ายังมีปัญหาในจุดนี้ เพราะการตรวจสอบระบบทั้งหมดวิศวกรด้านความปลอดภัยต้องทำด้วยตนเอง และข้อจำกัดของความถี่ในการทดสอบความปลอดภัยแบบเต็มรูปแบบ ทำให้ DAST แบบอัตโนมัติเป็นวิธีเดียวในการทดสอบได้บ่อยเท่าที่ต้องการโดยไม่ต้องทำงานเพิ่มหรือใช้เครื่องมือเพิ่มเติม
เมื่อมีแพลตฟอร์ม DAST ที่ทำงานได้จริงด้วยความเร็ว แม่นยำ และการผสานรวมเข้าด้วยกัน ทำให้กระบวนการทดสอบเป็นไปได้โดยอัตโนมัติ และสามารถเริ่มการสแกนได้ทั้งหมดหรือสแกนเป็นบางส่วนตามที่ต้องการ ซึ่งช่วยให้เราจะได้รับการคุ้มครองอย่างต่อเนื่องสำหรับช่องโหว่ที่สำคัญทั้งหมดโดยไม่มีค่าใช้จ่ายเพิ่มเติม ไม่ว่าคุณจะสแกนบ่อยเพียงใด
และนี่คือเหตุผลเพียงบางส่วนว่าทำไม DAST คืออนาคตของ AppSec สัปดาห์หน้าเราจะมาตามกันต่อว่า มีเหตุผลอะไรเพิ่มเติมอีกบ้างเพื่อให้บุคคลที่เกี่ยวข้องตระหนักถึงความสำคัญของ DAST กันนะครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 14 ก.ค. 65
Link : https://www.bangkokbiznews.com/blogs/columnist/1015407