1. Introducción a Neuralegions y Eurolegion
Neuralegions es un escáner dinámico de pruebas de seguridad de aplicaciones diseñado para desarrolladores. Te permite construir la superficie de escaneo desde las primeras pruebas unitarias, integrándose perfectamente en tus canalizaciones. Sin falsos positivos, puedes confiar en los resultados para detectar y solucionar rápidamente las vulnerabilidades de seguridad. Eurolegion ofrece una cobertura integral, compatible con aplicaciones web, aplicaciones internas y APIs. Puede manejar contenido dinámico del lado del cliente e integrarse con scripts funcionales existentes. Los escaneos son rápidos y pueden detectar vulnerabilidades en la lógica empresarial. Los escaneos autenticados son totalmente compatibles.
♪ Hola, TestJS. Soy Oli, VP aquí en Neuralegions, un escáner de pruebas de seguridad de aplicaciones dinámicas enfocado en desarrolladores. Gracias por unirte mientras discutimos la automatización precisa de las pruebas de seguridad para desarrolladores en CI-CD.
Ahora una breve introducción a Neuralegions. Somos un equipo global de expertos e investigadores en seguridad que creamos el mejor escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para ser amado por los desarrolladores para probar tus aplicaciones, tus APIs, pero lo más importante, también para ser confiable por tu seguridad.
Estás lanzando software más rápido que nunca y la seguridad necesita mantenerse al día y este proceso debe ser responsabilidad tuya, de los desarrolladores. Te permitimos construir la superficie de escaneo desde las primeras pruebas unitarias, ejecutando pruebas en cada compilación o cada solicitud de extracción. Esto se integra perfectamente en tus canalizaciones, pero lo más importante, sin falsos positivos, para que puedas confiar en los resultados para detectar y solucionar rápidamente las vulnerabilidades de seguridad de manera realmente rápida y realmente sencilla. Echemos un vistazo a lo que hay debajo del capó. Así que sí, tenemos una interfaz de usuario agradable para que los expertos en seguridad jueguen y configuren los escaneos manualmente. Pero estamos diseñados para que los desarrolladores sean dueños del proceso de pruebas de seguridad, como mencioné, y si te registras en nuestra cuenta gratuita, verás esta interfaz de usuario muy, muy agradable. Pero también notarás de inmediato que puedes ejecutar escaneos a través del repetidor de la CLI, instalado por Docker Compose, NPM, Win, y realmente puedes configurar tus escaneos como código. Con una configuración basada en archivos YAML global integrada en tu CI/CD. Para obtener más información, puedes consultar nuestra documentación para obtener una lista completa de comandos. Así que puedes seguir en tu terminal para administrar estos escaneos.
Entonces, ¿cómo puedes comenzar a automatizar tus pruebas de seguridad hoy? Bueno, en cuanto a la cobertura, te tenemos cubierto. Con Eurolegion, puedes comenzar a escanear cada compilación en busca de vulnerabilidades de seguridad como parte de tu CI, ya sea contra tus aplicaciones web, tus aplicaciones internas o incluso contra tus APIs, ya sea REST, SOAP o incluso GraphQL. Microservices y aplicaciones de una sola página son totalmente compatibles, ya sea que apuntes nuestro escáner a una URL local o, de hecho, a una URL de producción, ya sea que estemos ingiriendo tus esquemas de API o, de hecho, colecciones de Postman, o si estás cargando tus archivos de archivo HTTP, tus archivos HA, en nuestro motor. Esto significa que realmente puedes definir el alcance de la prueba de seguridad, tal vez contra un único punto de entrada o un único punto final, o contra una nueva función específica que acabas de crear. Estos métodos de descubrimiento se pueden ejecutar por separado o, de hecho, de manera concurrente, lo que significa que puedes manejar contenido dinámico del lado del cliente, JavaScript, y más. ¿Estás utilizando Selenium o, de hecho, Cypress, por ejemplo? Bueno, puedes comenzar a aprovechar esos scripts funcionales existentes y comenzar a escanear con estos archivos de medio tiempo. Esto significa que tus desarrolladores y QA ahora pueden trabajar juntos, tratando los errores de seguridad como los errores funcionales sin necesidad de ser expertos en ciberseguridad. De cualquier manera, los escaneos son rápidos, se ejecutan en minutos u horas, no en días, manteniendo tu velocidad de DevOps. Sin embargo, cuanto más puedas encontrar y solucionar, mejor. Tenemos una lista completa de categorías de pruebas que cubren los diez principales de OS, los diez principales de API de OS, los MITRE25 y más. Además, nuestro motor comprende el contexto, comprende las respuestas que estamos obteniendo del servidor de aplicaciones. Y realmente podemos usar esto para probar vulnerabilidades en la lógica empresarial. No solo tus inyecciones triviales, sino cómo nuestro motor puede pasar por alto la lógica o los mecanismos de validación en tus aplicaciones y APIs, eliminando aún más las pruebas de seguridad manuales y realmente poniendo las pruebas de seguridad en manos de los desarrolladores. Los escaneos autenticados son totalmente compatibles para maximizar la cobertura, ya sea que uses autenticación formal o autenticación de encabezado, NTLM o incluso autenticación personalizada de múltiples tareas. Te tenemos cubierto en eso.
2. Precisión y Remediación con Neuralegions
El mayor problema con los escáneres de seguridad es la precisión. Los desarrolladores quieren conocer problemas reales, no exageraciones. Neuralegions se enfoca en eliminar los falsos positivos automáticamente. Neural Edge y Scanner validan cada hallazgo con una prueba de concepto completa, eliminando la necesidad de validación manual. Se proporciona una visibilidad completa de los problemas recurrentes y nuevos, junto con pautas de remediación amigables para los desarrolladores. Todos los problemas se pueden copiar como un curl para depuración, y los equipos pueden asignarse a proyectos específicos para el escaneo y la visibilidad global. Neuralegions se integra perfectamente en tu canalización, lo que permite a los desarrolladores desplazarse hacia la izquierda y escanear cada confirmación o solicitud de extracción.
respeto. Pero creo que el mayor problema con los escáneres de
security es la precisión, ¿verdad? Levanten la mano si les encantan las alertas falsas. No, no lo pensé. ¿Cuánto tiempo pasan validando problemas o solucionando problemas de hace seis meses o un año?
DevOps y CICD equivalen a automatización, ¿cierto? ¿Cómo pueden hacerlo sin precisión? Los desarrolladores quieren conocer problemas reales, no exageraciones.
La gente siempre habla de reducir los falsos positivos. Bueno, aquí en Neuralegions, nos gusta hablar de eliminar por completo los falsos positivos automáticamente para ti. Ya sea que estés en una startup o una organización pequeña, probablemente sin un equipo de security dedicado, o tal vez seas una gran organización empresarial donde los desarrolladores superan en número a los de security en 50 o incluso 100 a 1. De cualquier manera, estás desarrollando y lanzando a una velocidad vertiginosa con múltiples compilaciones al día, pero también introduciendo problemas de security en producción a la misma velocidad. Lo último que quieres hacer es comenzar a introducir un montón de falsos positivos en tu carga de trabajo que necesita validación, sin mencionar que no puedes validar realmente tu riesgo. Los resultados simplemente se ignoran y prácticamente la herramienta se desactivará. Los falsos positivos en esta validación manual de resultados están perjudicando tus ciclos de lanzamiento rápidos y aumentando tu deuda técnica. Neural Edge y Scanner validan automáticamente cada hallazgo con una prueba de concepto completa. Sin necesidad de validación manual, tus compilaciones no fallarán sin motivo. Este ejemplo a la derecha muestra una captura de pantalla generada automáticamente de este problema de security de scripting entre sitios reflexivo, que causa esta ejecución emergente creada quizás por un usuario malintencionado. Buscamos automáticamente esta reflexión como parte de nuestro proceso de validación y te lo presentamos, confirmando el problema y asegurándonos de que no estés persiguiendo tu cola.
Pero ahora sabes qué se informa como real. ¿Cómo solucionas los problemas? Bueno, te brindamos una visibilidad completa de lo que está sucediendo. Comprende dónde se encuentran tus problemas recurrentes o los nuevos problemas que se detectan. Nuevamente, totalmente validados automáticamente por el motor para que no tengas que hacerlo tú. Se proporcionan pautas de remediación amigables para los desarrolladores con recursos adicionales para ayudarte a comprender los problemas y, lo que es más importante, cómo solucionarlos. Se proporcionan todas las solicitudes, respuestas y encabezados, y todos los problemas se pueden copiar como un curl para depuración con una función de reevaluación genial para ejecutar el mismo ataque o la misma carga y facilitar así la remediación para ti, el desarrollador. Asignar equipos de ingeniería o activos a proyectos específicos te permite segregar el escaneo y obtener una visibilidad global, ya sea de tus escaneos o, de hecho, de tu postura de riesgo, lo que significa que los equipos están creando los mismos problemas luego se puede proporcionar capacitación. Míralo como una capacitación segura sobre la marcha. Y todo esto se integra perfectamente en tu canalización. Con CICD y DevOps, hablamos de desplazarnos hacia la izquierda. Dask tradicionalmente se ha llevado a cabo en las etapas 4 y 5 realizadas por profesionales de security. Las herramientas se han construido para profesionales de security. Puedes comenzar a desplazarte hacia la izquierda, poniendo Dask en manos de los desarrolladores con Neuralegions. Escanea cada confirmación o solicitud de extracción, obtén comentarios inmediatos de los problemas, sin falsos positivos para comenzar a solucionar ahora. Tenemos integraciones con todas tus herramientas comunes o, mejor aún, usa nuestra API e integra. Se pueden abrir tickets de jurado, enviar mensajes a colegas relevantes en Slack, la colaboración es perfecta, fácil y precisa. Entonces, ¿qué estás esperando? Regístrate para obtener una cuenta gratuita y podrás comenzar a escanear en minutos. Conéctate con nosotros, consulta nuestra documentación para obtener más información. De cualquier manera, disfruta de la conferencia y feliz escaneo de security preciso.
TestJS Summit 2021
Comments