Een penetratietest dekt uw gehele stack in de runtime situatie af, met een “externe” blik. Code reviews vinden security problemen door statische analyse op broncode, op basis van algoritmes. Om een nog betere testdekking te bereiken in uw securitytesten, adviseert nSEC/Resilience het gebruiken van een speciale lokaal geïnstalleerde agent/sensor als extra aanvulling op een security scan of penetratietest. Deze vorm van security testing wordt Interactive Application Security Testing (IAST) genoemd.

Hoewel deze aanpak niet in alle situaties waarde toevoegt, is IAST een goede aanpak als het gaat om het maximaliseren van testdekking en het zoveel mogelijk beperken van kwetsbaarheden. Bij IAST voedt de local agent/sensor informatie van de werkende applicatie naar de vulnerability scanning tool die wordt gebruikt in de penetratietest, waarbij een interactieve feedbackloop wordt geïntroduceerd die de scanning tool in staat stelt te begrijpen welke resultaten de scanberichten hebben in de backend, en zich daar op aan te passen, waardoor betere resultaten kunnen worden behaald.

Wilt u weten hoe IAST uw organistie verder kan helpen? Neem contact met ons op!