产品简介

IAST安全测试平台是可同时应用于开发、测试与运维阶段的安全漏洞监测与防护工具。可同时实现静代码审核、动态渗透测试及WEB安全防火墙的功能,是实现轻量级SDLC(安全软件开发生命周期)的解决方案。

产品特色

1)安全测试不依赖于人

不管是SAST还是DAST工具都依赖于人去测试,这会耗费开发与测试人员大量的时间。IAST技术利用开发或测试人员在做功能测试的同时发现安全漏洞,不需要额外的时间,而且能够保证测试路径的完整性。

2)规则漏洞库覆盖范围广

高漏洞覆盖率,实现OWASP及CWE等权威漏洞组织的主要安全漏洞,并与之保持快速同步更新。

3)多应用处理能力

实现同时对100个以上的项目进行实时分析。对于大型企业,通常有成百上千个项目需要管理。IAST安全测试平台能够同时监控它们安)全状态、并汇总结果。

高精确度

由于IAST Agent能够同进观察到运行时数据传递的过程与相关代码,因此IAST安全测试平台具有SAST工具无法比拟的精确度。

产品功能

1)精确定位漏洞

在运行时实时发现漏洞,提供精确的结果。跨越开发与测试两个阶段,不依赖于安全专家和源代码,也不需要改变流程。精确定位漏洞内容包括:

1.通过深度安全插桩技术提供高精确度漏洞分析;

2.提供软件组合分析,包括第三方包、框架、已知与未知的漏洞;

3.自动化软件架构支持威胁建模和安全策略防御。

2)攻击可视化

1.应用程序安全可视化,而又无需打乱开发和操作;

2.保护程序攻击面;

3.获取精确的程序威胁和攻击数据;

4.整合第三方日志管理和SIEM解决方案。

3)程序防护

采用RASP技术在应用程序内部提供防护,如同应用程序自身一样观察攻击。Web 应用程序防火墙是与RASP技术提供相似运行时漏洞防护的产品,但Web 应用程序防火墙是依据就是一些很简单的模式匹配,不会考虑输入内容是否将被传送给包含漏洞的代码。RASP框架不同于 WAF,它与要保护的应用程序结合在一起,根据上下文提供检测,在源代码级别为应用程序的易受攻击区域提供保护。程序防护功能包括:

1.部署CVE防护,保护有漏洞的包不被攻击;

2.采用防护规则应对整个级别的攻击,如SQL注入、XSS和0-day攻击;

3. 使用虚拟补丁包缩小黑客利用新发现漏洞的机会;

4.采用防爆机器自动屏蔽暴力攻击和扫描。

产品部署

IAST安全测试平台分为两个组件:Server和Agen。Server作为安全测试平台的主程序,其主要功能如下:

1.向开发人员、测试人员或安全运维人员提供可视化的界面,显示实时的安全信息;

2.获取来自Agent传输过来的数据,并进行智能化漏洞分析及显示;

3.采用保护规则阻止所有的攻击,诸如SQL注入、XSS,防止0day溢出;

4.提供漏洞的解决方案;

5.检测攻击并提供防护;

6.对共享库和第三方组件进行安全性检查;

7.格式化导出漏洞列表,并支持邮件发送。

Agent作为应用程序的代理组件进行安装、工作,其主要功能如下:

1.代理所有用户浏览器到应用程序之间的流量,并传输到Server;

2.获取服务器后端源代码,并传输到Server;

3.获取来自Server端发送的指令,并进行执行。

服务器可以部署在Windows或者Linux服务器上。Agent部署在Web容器上,不需要安装,只需要调整容器的配置参数。服务器与Agent能正常通信。

产品规格

Contrast Assess