Definition „Interactive Application Security Testing“ Was ist IAST?

Autor / Redakteur: zeroshope / Stephan Augsten

Beim Interactive Application Security Testing handelt es sich um ein spezielles Verfahren, um die Sicherheit von Web-Applikationen zu verbessern. Der Scanner beobachtet das Verhalten der Anwendung in Echtzeit. Dieses Konzept gilt als sehr zuverlässig.

IAST-Tools simulieren externe Angriffe, haben aber gleichzeitig EInblick in den Quellcode einer Webanwendung.
IAST-Tools simulieren externe Angriffe, haben aber gleichzeitig EInblick in den Quellcode einer Webanwendung.
(© Thaut Images - stock.adobe.com)

Die englischen Vokabeln „Interactive Application Security Testing“ (IAST) bedeuten frei übersetzt „interaktives Testen der Sicherheit von Anwendungen“. Konkret handelt es sich um Scanner, die das Verhalten der entsprechenden Apps in Echtzeit beobachten. Dieser Live-Charakter wird durch das „interaktiv“ unterstrichen.

Die Scanner analysieren bei ihren Tests der Anwendungen sowohl das Geschehen von außen (Runtime, Konfigurationen, etc.) wie auch von innen (Codezeilen). IAST ist deshalb ein White-Box-Verfahren, da der Code für die Scanner zugänglich ist.

Die Unterschiede von IAST zu SAST und DAST

Interaktives Application Security Testing ist im Prinzip ein Hybrid aus den statischen (SAST) und den dynamischen Sicherheitstests (DAST). SAST-Scanner fokussieren sich auf den Code und kommen frühzeitig in der Entwicklung zum Einsatz. DAST-Tools simulieren Angriffe auf laufende Anwendungen. Sie arbeiten deshalb erst später im Entwicklungszyklus.

Eigentlich lassen sich diese Aufgaben nicht über eine Lösung abdecken, da die für externe Attacken vorgesehenen Angriffsroutinen im System anschlagen würde. Um diese Funktionen dennoch gemeinsam abzudecken, arbeiten IAST-Werkzeuge mit Software-Agenten sowie Sensoren. Die Herangehensweise ist deshalb etwas anders als bei SAST und DAST.

Mit Blick auf den Code berichten die Sensoren, ob die Zeilen in der Ausführung vom erwarteten Verhalten abweichen. In der statischen Analyse suchen die Scanner nach bekannten Mustern im Code, die auf Schwachstellen hindeuten. Für den externen Bereich funktioniert das Interactive Application Security Testing im Prinzip identisch: Software-Agenten werten das Verhalten der Anwendung in bestimmten automatisierten Testsituationen aus. Dynamische Tests sind simulierte Angriffe, die von außen durchgeführt werden.

IAST kann sowohl in der Entwicklung wie auch der in der Qualitätssicherungs- und Testphase eingesetzt werden. Oft dient es ebenfalls nachlaufend der Weiterentwicklung bestehender Anwendungen. Durch die andere Herangehensweise vom IAST entstehen bestimmte Vor- und Nachteile im Vergleich mit SAST und DAST.

Vorteile von IAST im Vergleich mit DAST und SAST

  • Ergebnisse werden in Echtzeit geliefert. Insbesondere DAST-Scanner brauchen sehr lange, um ihre Analysen abzuschließen.
  • IAST-Tools weisen eine nur sehr geringe Rate an falsch positiven Ergebnissen auf. SAST-Werkzeuge haben mit diesem Problem oft zu kämpfen.
  • Es ist kein Expertenwissen notwendig, um die Scanner zu benutzen. DAST-Tools werden von Spezialisten geschrieben und können nur von diesen verändert werden.
  • Die Lösungen sind im hohen Maße skalierbar.
  • Das Testen lässt sich weitgehend automatisieren – einschließlich der Berichtserstellung.
  • Existierende Testfälle können mehrfach genutzt werden. Es besteht kein Bedarf, neue Skripte zu schreiben.
  • Viele Fehler werden bereits frühzeitig gefunden, weshalb die Kosten für die Problembehebung sinken.
  • Da der Code zugänglich ist, können IAST-Scanner oft auch aufzeigen, weshalb ein Problem besteht. DAST-Lösungen können dies nicht.
  • IAST-Analysen stört andere Prozesse nicht. Anwendungen können normal genutzt werden.

Nachteile von IAST im Vergleich mit den anderen Konzepten

Viele Experten sind in der Ansicht, dass IAST-Lösungen überhaupt keine Nachteile im Vergleich zu den anderen Konzepten haben. Sie hätten keine nennenswerten Schwächen. Dies ist allerdings nicht korrekt. Mit einigen Problemen haben diese Instrumente ebenfalls zu kämpfen:

  • Die Analysetiefe ist geringer als bei SAST und DAST, um Echtzeit-Ergebnisse zu liefern.
  • Es dauert länger, bis die Scanner darauf trainiert sind, neue Bedrohungen zu erkennen.
  • Die IAST-Lösungen verlangen ein hohes Maß an Individualisierungen. Dies gilt beispielsweise für die Scanner, die nicht erwartetes Verhalten von Code während der Ausführung melden.

IAST ist das letzte Puzzleteil – aber nicht das ganze Bild

Wer die Vorteile vom Interactive Application Security Testing liest, entwickelt schnell die Idee, dass dieses Verfahren für die Sicherheitstests genügt. Schließlich deckt es alle Felder ab und arbeitet zuverlässig. Durch die geringere Analysetiefe und die Verzögerungen, bevor die Scanner neue Bedrohungen erkennen können, ist dies jedoch nicht der Fall. IAST-Tools sind das letzte (und oft wichtigste) Puzzleteil zur Optimierung der Sicherheit einer Web-Applikation. SAST und DAST sollten ebenfalls zum Einsatz kommen.

(ID:47267113)