Automated Security Testing

Veel organisaties werken volgens een Agile methode; de ontwikkeling is gericht op functionaliteit. Security en privacy komen helaas vaak op een tweede plaats. Access42 biedt een unieke oplossing voor het geautomatiseerd security testen van webapplicaties. Dit maakt het mogelijk om tijdens de (agile) ontwikkelfase vroegtijdig kwetsbaarheden te identificeren en op te lossen.

De managed dienstverlening van Access42 geeft u de mogelijkheid om uw webapplicaties periodiek en continue (24x7) te laten scannen en testen op bekende en onbekende kwetsbaarheden (data leakage, cross-site scripting, SQL injectie, beveiligingsbeleid, etc.). Voor het geautomatiseerd scannen en testen maakt Access42 onder andere gebruik van de technologieën en tooling van Tenable.io, PortSwigger Burp Suite Professional en OWASP ZAP. Deze selectie van security tooling stelt Access42 in staat om zowel passieve als actieve security scans en testen aan te bieden.

automated_security_testing
Overzichtelijk portaal
Het overzichtelijke portaal van Access42 biedt u de mogelijkheid om automatische security scans en testen te beheren. Ook krijgt u direct inzicht in de resultaten.

Identificatie van kwetsbaarheden
Na identificatie van mogelijke kwetsbaarheden is een uitgebreide omschrijving beschikbaar in het portaal met daarbij een advies om de kwetsbaarheid te kunnen mitigeren. De kwetsbaarheid bevat, indien beschikbaar, bewijsmateriaal (Proof of Concept) om hem te kunnen analyseren en reproduceren.

Impact analyse
De kwetsbaarheden worden geclassificeerd op basis van een Common Vulnerability Scoring System (CVSS). Deze risicoclassificaties kunnen na een zorgvuldige impact analyse worden overschreven om false of true positives te verbergen.

Handmatige verificatie
Het is mogelijk om kwetsbaarheden handmatig door Access42 security specialisten te laten analyseren en verifiëren. Zij kunnen aanvullend handmatige testen uitvoeren om een betrouwbare impact analyse uit te voeren. Indien de standaard mitigatie technieken niet effectief zijn voor uw webapplicatie zullen onze security specialisten een passend advies geven. Dit kan eventueel aangevuld worden met onze managed dienst voor Web Application Firewalling. Handmatige verificatie zorgt voor extra kennis en kunde en neemt u kostbare tijd uit handen in het continue security test proces.

Security consultancy
Onze consultants helpen u met bijvoorbeeld het opstellen van een risico analyse (threat modeling), helpen u tijdens het ontwikkelproces met eventuele vraagstukken en geven advies rondom security en privacy gerelateerde zaken.

Infrastructuur Scanning
Al is uw applicatie nog zo veilig, als er kwetsbaarheden aanwezig zijn binnen bijvoorbeeld de webserver dan kan een kwaadwillende alsnog toegang krijgen tot het systeem en de data op het systeem. Daarom voeren we periodiek vulnerability scans uit op de onderliggende infrastructuur.

Integratie issue tracking systeem en e-mail notificaties
Het security platform biedt de mogelijkheid om te koppelen met uw eigen issue tracking systeem. Daarnaast biedt het de mogelijkheid om een e-mail te sturen bij de constatering van nieuwe, nog niet eerder gevonden, kwetsbaarheden. Access42 kan met ieder systeem integreren zolang deze over een toegankelijke API beschikt.

Intake en methodologie bepaling
Tijdens een intake bepalen we samen met u de test methodologieën voor het uitvoeren van automatische security testen. Scans kunnen zowel met- als zonder authenticatie worden uitgevoerd. De methodologieën zijn afhankelijk van uw wensen/eisen en de complexiteit van de web omgeving.

Webapplicatie automatisch crawlen en testen
Deze methodologie brengt uw webapplicatie zonder enige voorafgaande kennis in kaart middels spider/crawling technieken. Er worden automatische testen uitgevoerd op alle pagina’s die in kaart zijn gebracht.

Het nadeel van deze methodologie dat het serieuze business impact kan hebben, indien bepaalde delen van de applicatie niet in kaart zijn gebracht en kwetsbaarheden daardoor ongedetecteerd aanwezig blijven.

Integratie met automatische regressietesten
Het Access42 security platform kan aangesloten worden op (reeds bestaande) automatische regressie testen. Hiervoor wordt het HTTP/SSL verkeer van de regressieteststraat via een proxy server onderschept en automatisch getest. Afhankelijk van de complexiteit van de web omgeving kunnen kwetsbaarheden op deze wijze zowel passief als actief worden geïdentificeerd.

Business flows inzichtelijk maken en automatiseren
Access42 kan samen met u de business flows bepalen binnen uw webapplicatie. Door business flow scripts te schrijven die aansluiten op uw behoefte is het mogelijk om automatisch security testen uit te voeren om kwetsbaarheden te identificeren binnen deze business flows van uw webapplicatie. Het nadeel van deze methodologie is dat het aanpassen van de business flows tijdens grote wijzigingen of snelle ontwikkeling van de webapplicatie een continu proces moet zijn en moeten worden aangepast. Deze aanpak kost tijd en geld, maar is voor business kritische applicaties een must.

 
 

Voeg security vroegtijdig toe aan uw ontwikkelproces!