如何在web应用程序安全性解决假阳性
假阳性在应用程序安全产生负面影响网络安全专家的工作,开发人员和整个业务。这篇文章解释了web AppSec上下文中的假阳性,说明为什么那么容易误报和先进的网络安全工具显示Invicti web应用程序安全扫描器地址误报的问题通过可证明的准确性。
你的信息将被保留私人。
你的信息将被保留私人。
什么是网络安全中假阳性?
假阳性就像你家假警报,警报被触发,但没有窃贼。在web应用程序安全性,假阳性是一个web应用程序安全扫描表明,你的网站有一个漏洞,如SQL注入或跨站点脚本(XSS),但事实上,没有修复。在其他领域的网络安全,假阳性可以文字假警报安全专家无休止地追逐,寻找不存在的网络攻击。
难怪假阳性是安全专业人员的职业倦怠的主要原因。
假阴性web应用程序安全漏洞的存在,但没有发现漏洞扫描器。因为你需要提前知道安全漏洞,假阴性的概念只有在人工测试基准测试或评估,看看我们的环境博客在假阴性要学习更多的知识。
假阳性使web应用程序安全性难以承受
所有AppSec工作需要一个好的漏洞扫描器,无论是作为一个独立的动态应用程序安全性测试工具(DAST)或作为一个援助手动渗透测试。在这两种情况下,有大量的假阳性是确保您的web耗时和昂贵的资产。
是AppSec最佳实践安全测试自动化构建到您的web开发管道和测试尽早。跟上软件创新,需要自动饲料漏洞扫描结果为开发工作流——但这不会工作,如果他们包括假阳性。如果你的团队不能相信扫描器,你安全专家必须手动验证每个扫描结果,浪费时间和金钱,阻碍整个开发过程。在一个典型的企业环境中,让昂贵的快速一年的500美元。
在渗透测试,假阳性是有害的。从低质量的扫描仪,充斥着假阳性时安全专家将花费宝贵的时间调查并不重要,而不是专注于漏洞,需要他们的专业知识。这可以使一些组织安全测试似乎过于昂贵,导致不完整的安全范围,使他们的网络攻击的危险,但更糟糕的是。
假阳性的真正的web应用程序的漏洞
人类倾向于很快开始忽视假警报,和AppSec专业人士也不例外。如果一个web应用程序安全扫描器检测200跨站点脚本漏洞和安全工程师或渗透测试人员发现的第一个20变体是假阳性,他们可能会认为所有的XSS报告是假阳性,忽略它们。
假阳性引起用户不信任所有默认扫描结果和治疗常见的噪音等问题。这将创建一个重大安全风险,因为真正的漏洞可能滑动通过测试未被发现和恶意黑客让门开着。因为他们已经手动标记为假阳性,他们可以保持不固定的和未报告的很长一段时间,创造一个更大的安全威胁。
调查假阳性需要技巧和时间
当一个安全工程师、渗透试验器或应用程序开发人员需要调查一个假阳性检查结果,效果一样好,人的技能,经验,和毅力。如果用户不能依赖他们的扫描结果,他们自然会相信他们找不到或者手动证明必须是假阳性。
事实上,尖端漏洞扫描器将多年的AppSec研发,这样他们就可以和做报告的漏洞,一个特定的用户可能会错过或无法验证。如果等先进的漏洞被解雇的假阳性,他们可能永远不会固定,再一次离开web应用程序攻击的风险。
信任AppSec解决方案变得更加关键的非交互式web api等资产,在调查一个漏洞报告通常需要专用工具和技能。假阳性API扫描结果可以是一个真正的障碍,迫使开发人员浪费宝贵的时间检查他们的源代码不存在缺陷。当发布期限织机,许多开发团队将会跳过这些麻烦的安全检查和研究证实70%的人做到底。
在现代AppSec假阳性的隐性成本
任何严重的web应用程序安全程序需要一个漏洞扫描器。无论你在哪里以及如何使用它,您选择的解决方案的准确性和实际效果可以使或打破你的AppSec努力,所以这个决定需要的关心远远不只是一盒。你是否依赖网络漏洞扫描动态安全性测试或结合起来手册渗透测试,不准确的结果充满了假阳性可以危及您的团队的努力工作,影响你的安全态势,实际上花费你的钱。
高质量DAST解决方案整合到您的软件开发流程,特别是在现代DevSecOps商店,可以作为一个独立的工具很少实际问题和跟踪他们的修复与实践互动。扫描仪不足,另一方面,总是需要你安全工程师花宝贵的时间手动验证扫描结果,为开发人员提供补救指导,和重新测试补丁。再加上开发人员的时间浪费在调查假警报和可操作的信息安全团队,你每年支付数百小时的手动验证低质量的漏洞报告。
自动扫描仪永远不能取代专业渗透测试人员和一个健壮的AppSec程序应该结合两者。然而,一个好的工具可以使手工测试更快和更符合成本效益,允许测试人员关注的漏洞无法被自动检测到,而坏的工具将使整个过程较慢,更昂贵。同样,如果你运行一个bug赏金计划,一个精确的漏洞扫描器会让你识别和修复大多数常见的安全缺陷内部没有支付赏金微不足道的错误。作为道德黑客然后专注于更高级的攻击途径,得到更好的价值,更好的保护从真正的威胁。
明显准确:Invicti Proof-Based扫描
几乎每个供应商的应用程序安全性测试工具将“更少的假阳性”甚至“零误报,但任何讨论假阳性的数量真的回答了错误的问题。甚至拥有零误报是不行的——你可以零误报,因为扫描仪跳过任何它是不确定的。所以一个更好的问题是:解决方案可以找到真实的,可利用的漏洞和交付真正积极的结果为您的开发人员修复吗?Invicti Proof-Based扫描技术旨在提供答案。
显示一个漏洞的唯一方法是利用实际利用,然后证明它是如何完成的。Invicti建立在超过十年的网络安全研究和发展提供一个web应用程序安全解决方案,它可以发现,安全利用,自信地证实绝大多数直接影响漏洞-超过94%的确切地说。通过提供明确的证据开发对于真正重要的安全缺陷,Invicti回避徒劳的争论谁更少的假阳性和直接关注使web应用程序更加安全。
阅读我们的白皮书:假阳性在Web应用程序安全性所面临的挑战
