DAST (Dynamic Application Security Testing)
DAST, acrônimo para Teste Dinâmico de Segurança de Aplicação, testa as interfaces expostas, em busca de vulnerabilidades. O teste é realizado de fora para dentro. DAST é ótimo para encontrar vulnerabilidades visíveis externamente. Para esse teste, a URL a ser testada já é mais que suficiente para o especialista que realizará o teste. A desvantagem é que esse tipo de teste depende de especialistas para escrevê-los, tornando o difícil de ser escalável.
SAST (Static Application Security Testing)
SAST, que em Português é um acrônimo para Teste Estático de Segurança de Aplicação, analisa o código fonte dos sistemas. Os testes normalmente são realizados antes que o sistema esteja em produção.
IAST (Interactive Application Security Testing)
Teste Interativo de Segurança de Aplicação é basicamente a combinação dos modelos de testes estáticos e dinâmicos (SAST e DAST), e apresenta melhores resultados.
Fonte: https://www.contrastsecurity.com/security-influencers/question-i-understand-sast-and-dast-and-how-to-use-them-but-what-is-iast-and-why-does-it-matter