Escape

Escape: Die KI-gestützte DAST-Lösung für moderne Sicherheits-Stacks

Was ist Escape?

Escape ist ein Dynamic Application Security Testing (DAST)-Tool, das die Art und Weise, wie Sicherheitsteams an Anwendungssicherheit herangehen, neu erfindet. Im Gegensatz zu älteren DAST-Tools, die mit modernen Umgebungen zu kämpfen haben, ist Escape von Grund auf so konzipiert, dass es sich nahtlos in moderne Web-Frameworks, APIs und CI/CD-Pipelines integriert. Es nutzt einen proprietären, KI-gestützten Algorithmus, um Geschäftslogik zu testen und Schwachstellen zu entdecken, die über einfache Header-Prüfungen hinausgehen, was es zu einer leistungsstarken Lösung für DevSecOps macht.

Wie funktioniert Escape?

Escape funktioniert, indem es dynamische Sicherheitstests auf der Ebene der Geschäftslogik durchführt. Seine KI-gestützte Engine analysiert den Ausführungskontext der Anwendung, um ihre Geschäftslogik zu verstehen, wodurch sie Schwachstellen wie Broken Object Level Authorization (BOLA), Insecure Direct Object Reference (IDOR) und Zugriffskontrollprobleme mit minimalen False Positives erkennen kann. Dieser Ansatz erzielt eine 4000-prozentige Verbesserung der Codeabdeckung gegenüber älteren DAST-Tools.

Hauptmerkmale und -vorteile:

• Moderne Stack-Integration: Funktioniert nahtlos mit modernen Web-Frameworks, APIs, CI/CD-Pipelines und Cloud-Anbietern wie Wiz.
• Sicherheitstests für Geschäftslogik: Geht über traditionelles DAST hinaus, indem es Sicherheit auf der Ebene der Geschäftslogik testet und Schwachstellen identifiziert, die ältere Tools übersehen.
• API- und Web-App-Erkennung: Erkennt und katalogisiert automatisch Ihre APIs und Webanwendungen und bietet sofortige Code-to-Cloud-Transparenz.
• KI-gestütztes Attack Surface Management: Verwaltet und reduziert Ihre Angriffsfläche mit KI-gesteuerten Erkenntnissen.
• Geringe Anzahl falscher Positiver: Minimiert falsche Positive, sodass sich Sicherheitsteams auf echte Schwachstellen konzentrieren können.
• Automatisierte Behebung: Bietet Code-Snippets, mit denen Entwickler Schwachstellen schnell beheben können.
• Umfassende Compliance: Generiert Compliance-Berichte für Standards wie OWASP, SOCII und PCI-DSS.
• Native Unterstützung für GraphQL & gRPC: Bietet native Unterstützung für das Testen von GraphQL- und gRPC-APIs.

Für wen ist Escape geeignet?

Escape wurde für Sicherheitsteams und Entwickler entwickelt, die eine DAST-Lösung benötigen, die mit dem Tempo der modernen Entwicklung mithalten kann. Es eignet sich besonders gut für:

• Organisationen, die DevSecOps-Praktiken anwenden.
• Teams, die Anwendungen mit modernen Web-Frameworks und APIs entwickeln und bereitstellen.
• Unternehmen, die komplexe Geschäftslogik absichern müssen.
• Sicherheitsteams, die falsche Positive reduzieren und sich auf umsetzbare Erkenntnisse konzentrieren möchten.

Warum Escape wählen?

• Verbesserte Codeabdeckung: Erzielt eine 4000-prozentige Verbesserung der Codeabdeckung gegenüber älteren DAST-Tools.
• Reduzierte Anzahl falscher Negativer: Hat 87 % weniger falsche Negative als ältere DAST-Tools.
• Zeitersparnis: Spart Sicherheitsingenieuren 12 Stunden pro Monat.
• Risikominderung: Reduziert das Anwendungsrisiko innerhalb der ersten Wochen um 50 %.

Praktische Anwendungen von Escape

• API-Sicherheitstests: Escape zeichnet sich durch API-Sicherheitstests aus und bietet eine umfassende Abdeckung für REST- und GraphQL-APIs. Es kann Schwachstellen wie Injection-Fehler, fehlerhafte Authentifizierung und die Offenlegung sensibler Daten identifizieren.
• Sicherheitstests für Geschäftslogik: Escape kann komplexe Geschäftslogikabläufe testen und Schwachstellen identifizieren, die sich aus fehlerhaften Geschäftsregeln oder Zugriffskontrollmechanismen ergeben. Dies ist besonders wertvoll für Anwendungen, die mit sensiblen Daten oder Finanztransaktionen umgehen.
• GraphQL-Sicherheit: Escape bietet spezielle Unterstützung für die GraphQL-Sicherheit, einschließlich der Möglichkeit, häufige GraphQL-Schwachstellen wie Denial-of-Service-Angriffe und Informationslecks zu identifizieren und zu verhindern.

So verwenden Sie Escape

1. Integration: Integrieren Sie Escape in Ihre CI/CD-Pipeline und Cloud-Anbieter.
2. Konfiguration: Konfigurieren Sie Escape, um Ihre Webanwendungen und APIs zu scannen.
3. Scannen: Führen Sie automatisierte Scans durch, um Schwachstellen zu identifizieren.
4. Analyse: Überprüfen Sie die Scanergebnisse und priorisieren Sie Schwachstellen basierend auf dem Risiko.
5. Behebung: Verwenden Sie die bereitgestellten Code-Snippets, um Schwachstellen zu beheben.
6. Berichterstellung: Generieren Sie Compliance-Berichte, um die Einhaltung von Sicherheitsstandards nachzuweisen.

Kundenmeinungen

• Seth Kirschner, Sr. AppSec Manager: "Wir wussten, dass Escape wirklich leistungsstark ist, wenn es um dynamisches Scannen geht und sicherstellt, dass wir eine vollständige Abdeckung haben, Geschäftsprobleme betrachtet und sicherstellt, dass wir unsere API-Angriffsfläche diesen Geschäftsproblemen zuordnen."
• Pierre Charbel, Product Security Engineer: "Escape ist ein innovatives Tool, und seine Ergebnisse und Algorithmen sind wirklich beeindruckend. Es konnte Schwachstellen finden, die seine Konkurrenten nicht gesehen haben. Es bietet mir auch umfangreiche Testmöglichkeiten."
• Michael Bourgault, Sr. Security Architect: "Das Time-to-Value-Verhältnis ist einfach zu 100 % gegeben. Während die meisten DAST-Scanner auf dem Markt für Webanwendungen entwickelt wurden, ist Escape DAST speziell zum Schutz von APIs zusätzlich zu Webanwendungen entwickelt."

Fazit

Escape ist eine moderne DAST-Lösung, die Sicherheitsteams in die Lage versetzt, Sicherheit nahtlos in ihren DevSecOps-Prozess zu integrieren. Mit seinen KI-gestützten Sicherheitstests für Geschäftslogik, der umfassenden API- und Web-App-Erkennung und den automatisierten Behebungsfunktionen ist Escape das letzte DAST-Tool, das Sie jemals brauchen werden. Testen Sie Escape, um die Sicherheit zu erhöhen, nicht den Lärm.