Las herramientas DAST son de gran ayuda para asegurar el software, y permiten a los desarrolladores y administradores analizarlo en busca de posibles hallazgos de seguridad, que podrían representar una amenaza hacia la aplicación final y un riesgo mayor en su correcta utilización. Estas fallas impactarían de diversas formas las 3 propiedades de la información: confidencialidad, integridad y disponibilidad (CIA, por sus siglas en inglés).

Entre las vulnerabilidades en el software que son identificadas con mayor frecuencia por las herramientas DAST se encuentran Inyecciones de SQL, Cross Site Scripting (XSS) y el manejo inseguro de errores, por mencionar algunas.

Si bien, una herramienta DAST brinda rapidez para realizar el escaneo de una aplicación Web, los resultados podrían contener un gran número de hallazgos falsos positivos, por lo cual estos deberán ser analizados antes de confirmarse como hallazgos de seguridad y  deberán ser atendidos para su mitigación.

Es recomendable que los resultados de una herramienta DAST sean analizados por personal con experiencia en seguridad en el software, para asegurar que los hallazgos identificados por la herramienta son 100 % confirmados, y así continuar con el proceso para su mitigación. De esa forma, los hallazgos que resulten falsos positivos no representarán una inversión de tiempo en actividades de mitigación que pudiesen llegar a afectar el plan de trabajo del desarrollo del software.

Las herramientas DAST son una excelente ayuda cuando el tiempo es limitado, como casi siempre lo es. Sin embargo, con el apoyo de un consultor de seguridad con experiencia en pruebas de seguridad serán una opción más completa, cuando se requiera realizar el análisis y pruebas más profundas en aplicaciones que manejen información sensible y crítica para el negocio.

Finalmente, apoyarse de herramientas DAST en la búsqueda de vulnerabilidades en una aplicación, es una buena opción, pero no sustituirá la experiencia de un consultor de seguridad. Por lo cual se recomienda ampliamente el contar con personal de seguridad calificado y con amplia experiencia, que pueda brindar un servicio de calidad para maximizar la seguridad requerida por los aplicativos que se estén desarrollando.

Fuentes:
Información tomada de investigaciones y casos observados en SCILabs.