Las Pruebas Interactivas de Seguridad de Aplicaciones (Interactive Application Security Testing) es un término general que se aplica a muchos enfoques de pruebas de seguridad que cierran la brecha entre el análisis de código fuente (SAST) y las pruebas dinámicas (DAST). En general, todas las herramientas IAST se agregan a una aplicación en ejecución para monitorear la ejecución del código y detectar operaciones y comportamientos inseguros.
Las pruebas estáticas de seguridad de aplicaciones, también llamadas SAST o pruebas white-box, se basan en el análisis del código fuente, por lo que no pueden encontrar problemas en runtime ni probar dependencias externas. Las pruebas dinámicas de seguridad de aplicaciones (DAST), o pruebas black-box, sondean toda la aplicación en ejecución, para probar toda la superficie de ataque y encontrar todas las vulnerabilidades que podría encontrar un atacante. Aun así, DAST todavía no tiene acceso al código fuente, por lo que no puede identificar algunas de las debilidades identificadas.
Existe una variedad de herramientas para agregar un elemento dinámico a las pruebas estáticas o para proporcionar información de problemas más precisa para las pruebas dinámicas. A pesar de las grandes diferencias entre estos productos, cualquier cosa que combine pruebas white-box y black-box de esta manera se denomina prueba gray-box o prueba interactivas de seguridad de aplicaciones (IAST), un término que Gartner popularizó en la década de 2010.
Contáctanos para conversar más sobre IAST o para que realicemos pruebas IAST o DAST en las aplicaciones de tu empresa.
Cyberseguridad México © 2021
