DAST, SAST, IAST para Apps de StartUps es insuficiente

June 17, 2020 Perspective

Por los días en que las palabras DAST/SAST/IAST ni siquiera se mencionaban, hace más o menos unos de 10 años atrás, “Mister Anónimo”, el subgerente de tecnología de una compañía de transporte de valores nos preguntaba qué otras evaluaciones de seguridad se podían hacer a sus aplicaciones web, además del llamado entonces “pentest de app web”.

Aquella vez le respondimos (además del antes llamado secure code-review) que debían hacerse pruebas pensando en la app web como un sistema abierto. Por ejemplo, estudiando quién, por qué, cómo, y hasta cuándo la usaba (esto incluso podría ser material para quienes practican monitoreo de riesgo o ISO 31000, para hacer feedback a sus futuros threat-modeling, como enseñamos al team de Banco Pacífico en el 2018). En el particular (del primer citado cliente), una de sus app eran empleadas fuera de sus instalaciones por personal propio (en ese entonces), pero era previsible que esa app tenía su contraparte en la competencia, y sería interesante ver cómo era que los empleados de ambas lo usaban en la instalación del mismo cliente, si acaso compartían o aprovechaban las riquezas de una u otra, para fines nuevos (no concebidos por la empresa). Años más tarde en el mismo cliente, esa idea fue esencial para una app novedosa que delegaba más prerrogativas a personas no siempre propias. Incluso nos fue provechoso, para crear casos de uso de pentest que ni siquiera existía en el testing guide (ya hace 6 años atrás).

Por supuesto, cuando Mister Anónimo nos preguntó eso, la idea era sólo para convencerlo de hacer un estudio o análisis novedoso, quizás partiendo de aquel fraude por uso indebido de información privilegiada (algo que hasta hoy no falla en la app novedosas)

Esta idea nació desde una interpretación heterodoxa de la pág. 30 en OWASP Testing Guide 2.0:

Literalmente, nadie ha señalado tal control o forma de evaluar las apps a la fecha.

A pesar de ello, los nuevos problemas de seguridad en la tecnología son cada vez más propios de la tecnología misma (a la que día a día nos hacemos más dependientes), así que debemos de emplear tiempo de pensar fuera de la caja, y sincerarnos que no podemos bastarnos con ejercicios DAST, SAST, IAST e incluso el threat modeling como las únicas formas de evaluar las fallas en una app web.

Si lo queremos ver en simple, si Ud. es el CISO, salgo un día a visitar y pasearse por el ecosistema de instalaciones y usos que su App Web tenga, sea algo así como el Jeff Bezos de la seguridad, vea qué necesitan/hace/piensan sus clientes (poniéndose en el rol de que su cliente es también un potencial delincuente informático)

Aquí un ejemplo interesante liberado por el análisis del equipo de KrebsOnSecurity donde un delito potencial de dilusión sin aparente daño tangible, tiene un daño mayor según el tipo de uso que se le dé a la app web.

Nota: Antes de criticar lo infantil que pareciera el artículo de KrebsOnSecurity, de cara a quienes tienen +20 años en seguridad o Internet, tómese un tiempo en leer los puntos de Chris Holland en los comentarios de ese mismo artículo.

 

JaCkSecurity

Ultra-Specialized Security Services