대화형 애플리케이션 보안 테스트(IAST)란 무엇입니까?

IAST(Interactive Application Security Testing)는 웹 애플리케이션의 취약점을 식별하기 위한 보안 테스트 방법론입니다. 응용 프로그램이 실행되는 동안 실시간으로 모니터링하고 적극적으로 테스트하는 방식으로 작동하며, 종종 QA 또는 자동화된 테스트 프로세스 중에 작동합니다. IAST 도구는 응용 프로그램과 통합되어 동작을 분석하고 데이터 흐름 보안 문제를 감지하여 특히 코드베이스의 잠재적 취약성에 대한 통찰력을 제공합니다.

문제가 있는 경우 IAST는 실패한 테스트 사례, 코드 위치의 컨텍스트 및 애플리케이션에 대한 정보를 개발 팀에 알립니다's 상태가 됩니다.

DevOps Security Best Practices [Cheat Sheet]

In this 12 page cheat sheet we'll cover best practices in the following areas of DevOps: secure coding practices, infrastructure security, monitoring and response.

Download Cheat Sheet

IAST가 중요한 이유

개발 속도가 가장 중요합니다. 새로운 기능을 출시하고 버그를 빠르게 수정하면 프로젝트의 성패를 좌우할 수 있습니다'의 성공. 그러나 개발 속도라는 명목으로 보안을 희생하는 것은 장기적으로 개발 프로세스를 괴롭힐 수 있습니다. 보안 시스템을 구축하면 테스트 실행이 길어지거나 실제로 프로덕션에서 보안 문제로 이어지지 않는 오탐으로 개발자에게 부담을 주어 추가 작업이 추가될 수 있습니다. 다행히 대화형 애플리케이션 보안 테스트(IAST)를 사용하면 제공 속도를 늦추지 않고 취약점을 식별할 수 있습니다.

IAST에 대해 자세히 살펴보고, IAST의 작동 방식과 시스템을 안전하게 유지하기 위해 IAST를 고려해야 하는 이유에 대해 알아보겠습니다.

IAST는 어떻게 작동하나요?

IAST는 테스트하는 동안 앱이 어떻게 작동하는지 추적하는 센서 라이브러리를 사용합니다. 이 프로세스는 개발자가 이러한 라이브러리를 애플리케이션 코드에 통합하도록 요구하여 보안 테스트를 보안 팀에서 개발 팀으로 전환합니다. 수정되지 않은 응용 프로그램에서 IAST를 사용하면 작동하지 않습니다.

이 센서는 IAST에 애플리케이션 코드, 데이터 흐름, 시스템 구성, 구성 요소 및 네트워크 연결에 대한 액세스 권한을 부여하여 소프트웨어를 추적할 수 있도록 합니다'테스트하는 동안 동작을 완료하고 취약한 동작이 감지되면 경고를 보냅니다.

IAST는 다음에서 실행할 수 있습니다. 데브섹옵스(DevSecOps) 파이프라인, 테스트가 작동하려면 응용 프로그램을 실행해야 하므로 컴파일 단계 이후입니다.

IAST는 다른 보안 테스트 방법과 어떻게 다릅니까?

정적 애플리케이션 보안 테스트(SAST) 및 DAST(Dynamic Application Security Testing) 및 소프트웨어 구성 분석 (스카) 는 다양한 강점과 약점을 가진 인기 있는 애플리케이션 보안 테스트 도구입니다. IAST를 비교하여 보안 테스트의 큰 그림에 어떻게 부합하는지 알아보겠습니다.

SAST와 IAST 비교

Definition	Comparison with IAST
SAST scans source code for suspicious patterns. It’s very fast and can run without compiling or executing an application, enabling it to run inside an IDE, as seen in figure 2.Still, it can’t catch all security vulnerabilities; some are too complex or manifest only in specific security contexts.	IAST is slower than SAST because it requires execution for its sensors to work. However, this also gives IAST the context that SAST is missing and allows IAST to report fewer false positives, a major pain point with SAST scanning.

Figure 2: Security scan inside an IDE

IAST와 DAST 비교

Definition	Comparison with IAST
DAST is a black-box testing method and therefore doesn’t see the code. DAST only executes the application and checks its outputs for vulnerabilities. It’s much slower than SAST but catches different application vulnerabilities.	In contrast to IAST, DAST doesn’t require changes to the code, considering it doesn’t use sensor libraries. However, because of the missing sensors, it has less context than IAST and requires many more test cases, which gives IAST a speed advantage over DAST.

IAST와 SCA 비교

Definition	Comparison with IAST
SCA detects potential security vulnerabilities in your application's third-party source components. It scans the packages you use, checks which have entries in the list of known vulnerabilities, and reports these issues. SCA is a very fast process because it doesn’t evaluate or scan your application code. In short, SCA only checks if you use dependencies with vulnerabilities. Nonetheless, SCA usually has a high rate of false positives, as it doesn’t check if you use a dependency's vulnerable parts.	SCA is much faster than IAST but only reports vulnerabilities in third-party code. It also tends to have a high rate of false positives.While IAST is slower, it covers your own code and that of third parties. Its sensors ensure that only vulnerabilities in executed code lead to an alert, minimizing false positives.

Definition

Comparison with IAST

SCA detects potential security vulnerabilities in your application's third-party source components. It scans the packages you use, checks which have entries in the list of known vulnerabilities, and reports these issues. SCA is a very fast process because it doesn’t evaluate or scan your application code.

In short, SCA only checks if you use dependencies with vulnerabilities. Nonetheless, SCA usually has a high rate of false positives, as it doesn’t check if you use a dependency's vulnerable parts.

SCA is much faster than IAST but only reports vulnerabilities in third-party code. It also tends to have a high rate of false positives.While IAST is slower, it covers your own code and that of third parties. Its sensors ensure that only vulnerabilities in executed code lead to an alert, minimizing false positives.

IAST의 이점과 제한 사항은 무엇입니까?

IAST는 SAST 및 DAST에 대한 더 나은 대안처럼 들릴 수 있지만 모든 보안 문제에 대한 완벽한 솔루션은 아닙니다. 적용 가능성을 더 잘 이해하기 위해 이점과 한계를 살펴보겠습니다.

IAST의 이점

자동화: 다른 보안 테스트 방법과 마찬가지로 IAST 프로세스를 자동화하고 CI/CD 파이프라인에 통합하여 새 코드가 프로덕션에 배포되기 전에 항상 실행되도록 할 수 있습니다.
런타임 시 전체 커버리지: IAST 센서는 런타임 시 전체 애플리케이션을 추적합니다. 이것은 그들이 자신의 코드와 타사 라이브러리의 코드의 동작을 포함한다는 것을 의미합니다. IAST는 네트워크 요청을 하거나 특정 위치에 액세스하는 경우 보고합니다.
투명성: 센서는 IAST에 디버거와 같은 실행 컨텍스트에 대한 액세스 권한을 부여합니다. 이를 통해 IAST는 소스 코드의 특정 섹션에 취약점을 연결할 수 있으므로 개발자가 더 쉽게 찾고 수정할 수 있습니다.
실시간 피드백: 테스트가 사람에 의해 수행되고 자동으로 수행되지 않는다고 가정합니다. CI/CD 파이프라인. 이 경우 IAST는 센서가 잠재적 취약성을 감지할 때 테스터에게 경고하여 실시간 피드백을 제공할 수 있습니다.
프로덕션 사용 사례: IAST의 실행 요구 사항도 개발자가 버그 보고서에 언급된 문제를 재현하고 런타임 센서로 테스트할 수 있으므로 이점이 될 수 있습니다.

IAST의 한계

프로그래밍 언어에 대한 보편적인 지원 부족: IAST 도구의 가장 큰 한계는 프로그래밍 언어에 따라 다르다는 것입니다. IAST에 필요한 컨텍스트를 제공하기 위해 센서 라이브러리를 설치해야 하므로 선택한 프로그래밍 언어가 IAST 도구에서 지원되지 않는 경우 운이 좋지 않습니다. 널리 사용되는 프로그래밍 언어를 사용하지 않는 한 IAST는'옵션을 사용할 수 있습니다.
SDLC 후반부의 피드백: IAST는 나중에 실행하기 위해 애플리케이션을 컴파일하고 실행해야 합니다. 소프트웨어 개발 수명 주기따라서 소스 코드와 직접 작동하는 보안 스캐너보다 피드백이 훨씬 느립니다. IAST는 기능을 구현하는 동안 IDE 내에서 개발자 피드백을 제공할 수 없습니다.
고난도 구현: IAST에 대한 통합 노력은 센서 라이브러리를 설치하고 설정해야 하기 때문에 SAST 또는 DAST의 통합 노력보다 훨씬 높습니다. SAST 또는 DAST는 변경 없이 애플리케이션을 있는 그대로 테스트할 수 있습니다.
거짓 음성: IAST 센서는 실행된 코드만 추적하기 때문에 테스트에서 실행되지 않는 코드의 문제를 포착하지 못합니다. 이로 인해 테스트하기 어려운 빅 코드 베이스에서 거짓 부정(false negative)의 위험이 높아집니다.
높은 비용: 테스트를 위해 코드를 컴파일하고 실행하는 것은 코드를 있는 그대로 스캔하는 SAST를 실행하는 것보다 훨씬 비쌉니다. 또한 IAST 센서의 실시간 정보도 무료로 제공되지 않습니다.

CI/CD Pipeline Security Best Practices [Cheat Sheet]

In this 13 page cheat sheet we'll cover best practices in the following areas of the CI/CD pipeline: Infrastructure security, code security, secrets management, access and authentication, monitoring and response.

Download Cheat Sheet

요약

IAST는 애플리케이션 보안 테스트 에코시스템에 추가된 강력한 기능입니다. 오탐 및 장기 실행 테스트 스위트는 개발 속도에 큰 문제이며 IAST는 이러한 문제를 해결합니다. SAST 및 SCA와 달리 IAST 센서는 실행된 코드의 취약점만 경고를 발생시키도록 합니다. 이렇게 하면 데드 코드의 문제가 무시되기 때문에 거짓 긍정 비율이 낮아집니다. 또한 센서는 DAST에 누락된 컨텍스트를 추가하여 런타임 환경에 대한 통찰력을 갖춘 블랙박스에서 그레이박스 테스트 방법으로 전환합니다. 컨텍스트가 많을수록 DAST보다 더 적은 테스트로 더 많은 수의 취약성을 처리할 수 있습니다.

위즈 코드 + IAST

Wiz Code는 IAST를 포함한 다양한 애플리케이션 보안 테스트 도구에서 결과를 수집하고 통합할 수 있는 기능을 제공합니다. Wiz Code의 IAST 결과 수집 기능은 포괄적인 클라우드 네이티브 애플리케이션 보호를 강화하도록 설계되었습니다.

Wiz Code는 IAST 결과를 통합함으로써 런타임 취약성 통찰력을 플랫폼에 직접 가져올 수 있으므로 클라우드 환경에서 실행되는 애플리케이션의 잠재적 위험을 보다 철저하게 볼 수 있습니다.

여기'사용자가 IAST 결과를 Wiz Code에 수집하여 얻을 수 있는 이점은 다음과 같습니다.

사전 프로덕션 환경에서 향상된 탐지 기능: IAST의 연구 결과는 실제 프로덕션이 아닌 사전 프로덕션 또는 QA 테스트 중 애플리케이션의 런타임 취약성에 초점을 맞춥니다. IAST 결과를 Wiz Code에 통합함으로써 사용자는 주입 결함 또는 애플리케이션 로직의 잘못된 구성과 같은 현실적인 런타임 조건에서 나타나는 취약점을 프로덕션에 도달하기 전에 발견할 수 있습니다. 이러한 선제적 통찰력은 라이브 환경에서 비용이 많이 들거나 파괴적인 취약성으로 이어질 수 있는 문제를 방지하는 데 도움이 됩니다.
응용 프로그램 수준의 취약성을 넘어서는 포괄적인 보기: IAST 조사 결과는 클라우드 인프라 또는 워크로드와 격리된 애플리케이션 수준의 취약성을 대상으로 하는 반면, Wiz Code는 이러한 결과를 Wiz Cloud의 통찰력과 상호 연관시켜 그림을 완성합니다. 이러한 광범위한 관점은 사용자가 애플리케이션 문제가 기본 클라우드 구성 요소와 어떻게 상호 작용할 수 있는지 확인하는 데 도움이 되며, 포괄적인 클라우드 보안에 부합하는 전체 스택 보기를 제공합니다.
보안 그래프 수집을 통한 정밀도: IAST 결과는 일반적으로 정적 애플리케이션 보안 테스트(SAST)와 유사하게 취약점을 특정 코드 줄에 연결합니다. 이러한 결과를 Wiz Code의 Security Graph에 매핑함으로써 사용자는 코드베이스 내에서 직접 취약점을 식별하고 해결하는 데 있어 정확한 정확도를 얻을 수 있습니다. 한편, Wiz Cloud는 추가 보안 인텔리전스를 제공하여 이러한 애플리케이션 수준 문제가 클라우드 환경에 어떤 영향을 미치거나 관련될 수 있는지에 대한 컨텍스트를 제공합니다.

Wiz의 IAST 수집을 통해 사용자는 애플리케이션과 클라우드 인프라 모두에 대한 Wiz Cloud의 엔드 투 엔드 가시성을 통해 향상된 사전 프로덕션에서 애플리케이션 취약성에 대한 표적 통찰력의 이점을 누릴 수 있습니다. Wiz Code가 작동하는 모습을 보고 싶으신가요? 데모 신청하기 코드에서 보안을 시작하는 것이 클라우드에서 보안을 유지하는 데 어떻게 도움이 되는지 알아보세요.

Secure your cloud from code to production

Learn why CISOs at the fastest growing companies trust Wiz to accelerate secure cloud development.

데모 신청하기