自動化ツールと手動レビュー
ここでいくつかの良い答えがありますが、いくつかの点が欠けていたと思います:
- 自動ツールは、手動テストよりも桁違いに速く完了します。
- 自動ツールはその幅をカバーしますが、深さを手動でテストする必要があります。 (攻撃/テストの範囲、およびすべてのインターフェイス/コード行のプローブにおける幅)。
- Autotoolsは一般的なぶら下がっている果物には最適ですが、セキュリティのレベルを上げる必要がある場合は、手動で深く掘り下げる必要があります。
- 手動テストでは、システムのすべての部分(コード行、逆コンパイルされたアセンブリ、Webページとパラメーター、Webサービスなど)をカバーできない可能性がありますが、autotoolsはそのために最適です。
- @Andreasが言ったように、autotoolsが想像できないような複雑なベクトルが時々ありますが、専門家には明らかです。
- Autotoolsは、ビジネスロジックの欠陥をテストすることはできません。技術的な欠陥のみをハントします-そして、より一般的なものはその時点でハントします。
- 手動テストは一貫していません。
- 手動テストは個々のテスター(ああ、恐怖!!)のスキルに依存しますが、何を探しているのかを本当に知る必要があります。
- 同様に、手動テストでは、回帰テストを取得できません。
- Autotoolsは最新のエクスプロイトで自動的に更新されますが、人間は通常、2年前に読んだすべてのベクトルを覚えていません...
- 一方、autotoolsは時々更新されるだけですが、人間はスパンキングの新しいテクニックについて学び、翌日それを実装することができます。
- Autotoolsには通常、非常に高い割合の偽陽性が含まれています(方法論と製品の選択に応じて、30%から90%以上)。
- Autotoolsには通常、適切なレポートスイートが付属しています。
ボトムライン?どちらにも場所があり、どちらも正しいコンテキストで使用する必要があります。低品質のアプリの場合は、最初にautotoolが検出できるすべてのものを修正することから始めます。まだ適切な手動レビューに投資することに迷惑をかけないでください。セキュリティレベルを上げて、ぶら下がっている果物を取り除いたら、遠くに行って詳細な手動レビューを実行してください。そして、手動テストを行うとき-最初のステップは、autotoolを実行して結果をフィルタリングすることです。それから、実際のテストを開始します。
自動化された長所:
- 高速-時間ごとのチェック。
- 注意は必要ありません(ほとんど)。
- スケジュール設定してレポートできます。
自動化された短所:
- スマートな攻撃ベクトルは対象外です。
- 常に完全なプロセス制御が保証されるわけではありません。
手動のアプローチは、基本的に自動化された長所/短所を短所/長所に変換します。しかし、手動のアプローチは、主題のより深い知識を必要とします。
半自動化が答えです。ヒューマンインテリジェンスパイロット自動化ツールは、テストカバレッジと深度を最大化するための最善の策です。
機能:ツールを運転する賢い人々。
失敗するもの:その他すべて。
自動化されたツールは物事を見落とし、誤って報告するため、手作業が必要です。
したがって、すべての自動化作業は、より多くの手動作業を作成します。
また、この質問に対する私の答えを ホワイトボックスvs.ブラックボックス で確認することもできます。ここでは、文献に示されているベストプラクティスについて説明しています。
自動化されたツールは、人間よりも優れた点があり、その逆も可能です。
たとえば、自動化されたツールは、XSSの脆弱性を見つけるために、人間が覚えている以上のさまざまな方法を試すことができます。 XSSを実行する新しい方法が誰かに見つかるたびに、XSSがツールに追加され、テストされます。
一方、これらのツールはスマートではなく、結論を導き出しません。 1ページでXを実行し、2ページでYを実行すると、Zページでの結果が異なる場合があると人間は結論付けます。
最近の投稿 で、1時間以内しか持続しない攻撃が増加していることをラドウェアが発見し、3つの最大の攻撃の半分以上がそのカテゴリに分類されたことがわかりました。これらの調査結果の意味は明らかです。非常にすぐに、長い攻撃キャンペーンでさえ、トラフィックの短いバースト(人間が効果的に軽減することは不可能ではないとしても)が難しいバーストに基づいて行われる可能性があります。そのとき私は自動化されたセキュリティが未来であるように見えますが、これを適切に設定するには人間の要素がまだあるはずです。