hello大家好,欢迎来到新一期IAST百科全书,这期和大家一起探讨一下,怎么选一个最适合自己的IAST呢?
在评估IAST解决方案的时候,每家企业环境不同,需要考虑的内容也相应的会有一些区别。
团队协作
首先需要考虑的就是不同的团队之间的协作性。
IAST是一个典型的安全部门选型采购、研发部门使用的产品,日常使用涉及跨部门沟通,如果工具不能很好地支撑跨部门沟通,则会面临极高的沟通协作成本。
安全部门
在整个组织的应用和API组件中,IAST是一个主要的漏洞发现者。如果应用得当,IAST能够帮助开发团队在早期消除大多数漏洞,从而减少安全部门的介入。因此,安全部门在漏洞管理中扮演着重要的角色。
开发团队
开发团队对于保证应用和API没有漏洞负有直接责任。然而,安全工具经常会给开发团队带来额外的困扰和工作量,这可能会导致他们抗拒IAST的介入。
因此,要确保开发团队理解IAST的优点,并得到他们的支持。这可以通过培训来实现,让开发团队了解IAST的工作原理、IAST如何帮助他们更快地修复漏洞,并强调IAST可以帮助他们避免在生产环境中出现漏洞。
管理团队
推动IAST落地实践的过程中,也需要获得管理团队的认可,IAST需要有能力让管理团队也第一时间感知到其产生的价值。
技术层面
在技术层面上,需要考虑的事情相对就更具体了:
语言和框架
不同的IAST支持不同的开发语言和技术框架,因此你要保证IAST支持你的应用和API正在使用的语言和框架。
精确度
你可以用一个包含一系列真实漏洞的应用,来测试IAST的漏洞检测准确度。我们重点需要关注IAST的检出率、误报率,一般建议可以用OWASP Benchmark来做测试。
可扩展性
考虑你的应用程序组合的规模,包括API、内部应用程序和产品在内。IAST能否覆盖对所有这些应用程序的持续分析?需要多少人员才能实现这种保障水平?
规则集覆盖
IAST的规则集是否能涵盖你最关心的攻击类型,包括常见的漏洞类别以及CVE漏洞。
可见性
IAST有它自己的界面?IAST可以输出什么样的漏洞报告?是否提供IDE和CI/CD插件?
安装
大多数IAST产品都很容易安装,不需要更改流程。安装是否可以自动化?是否可以将IAST添加到容器和映像中,以便在新应用程序上线时自动部署?
配置
IAST需要复杂的配置才能进行准确的分析吗?可以轻松地向IAST添加自定义规则吗?
管理和更新
有没有集中的方式来更新IAST规则和功能?软件更新是否自动进行?IAST是否包括企业级功能,如LDAP集成、强身份验证、企业级访问控制、传输和静态数据的加密以及完整的安全日志记录?
集成
IAST提供插件,能够和常见的安全及DevOps工具及管道集成吗?对收集到的数据有完整的API吗?这个API也包含管理员操作的功能吗?
近期评论