Pruebas de seguridad automatizadas de GraphQL para desarrolladores

♪♪ Soy Oli, VP aquí en Neuraligions, un escáner de pruebas de seguridad enfocado en desarrolladores. Gracias por unirte mientras discutimos la automatización precisa de las pruebas de seguridad para desarrolladores y el CI/CD.

Ahora, una breve introducción a Neuraligions. Somos un equipo global de expertos e investigadores en seguridad que creamos el mejor escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para ser amado por los desarrolladores para probar tus aplicaciones, tus APIs, pero lo más importante, para ser confiable para tu seguridad. Estás lanzando software más rápido que nunca y la seguridad debe mantenerse al día y este proceso debe ser gestionado por los propios desarrolladores.

Te permitimos construir la superficie de escaneo desde las primeras pruebas unitarias ejecutando pruebas en cada compilación o cada solicitud de extracción. Esto se integra perfectamente en tus flujos de trabajo pero lo más importante, sin falsos positivos. Por lo tanto, puedes confiar en los resultados para detectar y solucionar vulnerabilidades de seguridad de manera rápida y sencilla. Pero echemos un vistazo a lo que hay debajo del capó. Tenemos una interfaz de usuario agradable para los expertos en seguridad para jugar y configurar escaneos manualmente. Pero estamos diseñados para que los desarrolladores gestionen el proceso de pruebas de seguridad, como mencioné antes.

Si te registras en nuestra cuenta gratuita, verás esta interfaz de usuario muy, muy agradable pero también notarás de inmediato que puedes ejecutar escaneos a través del repetidor de la CLI instalado mediante Docker Compose, NPM, Win y realmente puedes configurar tus escaneos como código con archivos de configuración YAML globales integrados en tu CI/CD. Para obtener más información, puedes consultar nuestra documentación para obtener una lista completa de comandos. Por lo tanto, puedes seguir en tu terminal para gestionar estos escaneos.

Entonces, ¿cómo puedes empezar a automatizar tus pruebas de seguridad hoy? En cuanto a la cobertura, te tenemos cubierto. Con Neural Legion, puedes comenzar a escanear cada compilación en busca de vulnerabilidades de seguridad como parte de tu CI. Ya sea contra tus aplicaciones web, tus aplicaciones internas o incluso tus APIs, ya sea REST, SOAP o incluso GraphQL. Los microservicios y las aplicaciones de una sola página son totalmente compatibles. Ya sea que apuntes nuestro escáner a una URL local o a una URL de producción, ya sea que ingiramos tus esquemas de API o incluso colecciones de Postman, o si estás cargando tus archivos de archivo HTTP, tus archivos heart en nuestro motor.

Esto también significa que realmente puedes definir el alcance de la prueba de seguridad, tal vez contra un único punto de entrada o un único punto final, o contra una nueva función específica que acabas de crear. Estos métodos de descubrimiento se pueden ejecutar por separado o incluso de manera concurrente, lo que significa que puedes manejar contenido dinámico del lado del cliente, JavaScript y más. ¿Estás utilizando Selenium o incluso Cypress, por ejemplo? Bueno, puedes comenzar a aprovechar esos scripts funcionales existentes y realizar escaneos con estos archivos heart. Esto significa que tus desarrolladores y QA ahora pueden comenzar a trabajar juntos, tratando los errores de seguridad como los funcionales sin necesidad de ser un experto en ciberseguridad. De cualquier manera, las pruebas son rápidas, se ejecutan en minutos u horas, no en días, manteniendo tu velocidad de DevOps. Sin embargo, cuanto más puedas encontrar y solucionar, mejor.

Tenemos una lista completa de categorías de pruebas que cubren el top 10 de OS, el top 10 de API de OS, Mitre 25 y más. Además, nuestro motor comprende el contexto, comprende las respuestas que recibimos del servidor de aplicaciones. Y podemos utilizar esto para probar vulnerabilidades de lógica empresarial, no solo tus inyecciones triviales, sino cómo nuestro motor puede pasar por alto la lógica o los mecanismos de validación en tus aplicaciones y APIs, eliminando aún más las pruebas de seguridad manuales y realmente poniendo las pruebas de seguridad en manos de los desarrolladores. Las pruebas autenticadas son totalmente compatibles para maximizar la cobertura, ya sea utilizando autenticación formal o autenticación de encabezado, NTLM, OAuth o incluso personalizada, autenticación de múltiples pasos, entre otros. Estamos cubiertos en ese aspecto.

Pero creo que el mayor problema con los escáneres de seguridad es la precisión, ¿verdad? Levanten la mano si les encantan las alertas falsas. No, no lo pensé. ¿Cuánto tiempo pasan validando problemas o solucionando problemas de hace seis meses o un año? DevOps y CICD significan automatización, ¿verdad? ¿Cómo pueden hacerlo sin precisión?

Los desarrolladores quieren conocer problemas reales, no exageraciones. Siempre se habla de reducir los falsos positivos. Bueno, aquí en New Religion, nos gusta hablar de eliminar los falsos positivos por completo de forma automática. Ya sea que estés en una startup o una organización pequeña, probablemente sin un equipo de seguridad dedicado, o tal vez seas una gran organización empresarial donde los desarrolladores superan en número a la seguridad en 50 o incluso 100 a uno. De cualquier manera, estás desarrollando y lanzando a una velocidad vertiginosa con múltiples compilaciones al día, pero también introduciendo problemas de seguridad en producción a la misma velocidad.

Lo último que quieres hacer es comenzar a introducir un montón de falsos positivos en tu carga de trabajo que necesitan validación, sin mencionar que no puedes validar realmente tu riesgo. Los resultados simplemente se ignoran y prácticamente la herramienta se desactivará. Los falsos positivos en esta validación manual de resultados están perjudicando tus ciclos rápidos de lanzamiento y aumentando tu deuda técnica. El escáner de Neuralegion valida automáticamente cada hallazgo con una prueba de concepto completa sin necesidad de validación manual. Tus compilaciones no fallarán sin motivo y tu ticket de JIRA no se llenará de falsos positivos.

Este ejemplo a la derecha muestra una captura de pantalla generada automáticamente de este problema de seguridad de scripting entre sitios reflectante que causa esta ejecución emergente creada tal vez por un usuario malintencionado. Buscamos automáticamente esta reflexión como parte de nuestro proceso de validación y te lo presentamos. Confirmamos el problema y nos aseguramos de que no estés persiguiendo tu cola. Pero ahora que sabes qué se informa como real, ¿cómo solucionas los problemas? Bueno, te brindamos una visibilidad completa de lo que está sucediendo. Comprende dónde se encuentran tus problemas recurrentes o se detectan nuevos problemas. Nuevamente, totalmente validado automáticamente por el motor para que no tengas que hacerlo tú. Se proporcionan pautas de remedio amigables para los desarrolladores con recursos adicionales para ayudarte a comprender los problemas y, lo que es más importante, cómo solucionarlos. Se proporcionan todas las solicitudes, respuestas, encabezados y todos los problemas se pueden copiar como un comando curl para depurar con una función de nueva prueba para ejecutar el mismo ataque o la misma carga y facilitar y acelerar la solución para ti, el desarrollador. Asignar equipos de ingeniería o activos a proyectos específicos te permite segregar el escaneo y obtener una visibilidad global ya sea de tus escaneos o incluso de tu postura de riesgo lo que significa que si los equipos están creando los mismos problemas se puede proporcionar capacitación. Míralo como un entrenamiento seguro sobre la marcha. Y todo esto se integra perfectamente en tus flujos de trabajo.

Con CICD y DevOps, hablamos de mover hacia la izquierda. DAST tradicionalmente se ha llevado a cabo en las etapas cuatro y cinco, dirigido por profesionales de la seguridad. Las herramientas se han construido para profesionales de la seguridad. Puedes comenzar a moverte hacia la izquierda, poniendo DAST en manos de los desarrolladores con Neuralegion. Escanea cada confirmación o solicitud de extracción, obtén comentarios inmediatos de los problemas, sin falsos positivos para comenzar a solucionar ahora. Tenemos integraciones con todas tus herramientas comunes o, mejor aún, utiliza nuestra API e integra. Se pueden abrir tickets de Jira, enviar mensajes a colegas relevantes en Slack. La colaboración es fluida, fácil y precisa. Entonces, ¿qué estás esperando? Regístrate para obtener una cuenta gratuita y podrás comenzar a escanear en minutos. Conéctate con nosotros, consulta nuestra documentación para obtener más información. De cualquier manera, disfruta de la conferencia y feliz escaneo de seguridad preciso. ♪♪