Zwiększ bezpieczeństwo aplikacji internetowych dzięki Detectify Asset Monitoring

Photo of author

By maciekx

Ochrona aplikacji i infrastruktury przed zagrożeniami

W jaki sposób skutecznie zabezpieczyć swoje aplikacje i infrastrukturę przed potencjalnymi słabościami? Detectify prezentuje kompleksowe rozwiązania do inwentaryzacji zasobów i ich ciągłego monitorowania. Narzędzie to oferuje skanowanie w poszukiwaniu luk w zabezpieczeniach, wykrywanie aktywnych hostów oraz identyfikację wykorzystywanego oprogramowania. Dzięki temu możesz uniknąć nieprzyjemnych niespodzianek, takich jak nieznane hosty z lukami czy subdomeny podatne na przejęcie.

Wiele aspektów może pójść nie tak, stwarzając okazję dla atakujących. Przykładowe zagrożenia to:

  • Utrzymywanie otwartych, niepotrzebnych portów.
  • Wyciek poufnych informacji poprzez niezabezpieczone subdomeny, pliki lub dane logowania.
  • Nieuwaga w kwestii dostępności katalogu .git.
  • Podatność na popularne zagrożenia z listy OWASP, takie jak XSS, SSRF czy RCE.

Można oczywiście podjąć próbę ręcznego skanowania portów, szukania subdomen czy testowania pod kątem luk. Jednak takie podejście, choć skuteczne jednorazowo, staje się nieefektywne i czasochłonne przy częstym stosowaniu.

Jak zatem rozwiązać ten problem?

Odpowiedzią jest Monitorowanie zasobów Detectify. To narzędzie aktywnie obserwuje zasoby Twojej aplikacji internetowej, regularnie przeprowadzając skanowanie pod kątem wspomnianych wcześniej oraz wielu innych zagrożeń. W ten sposób podnosisz poziom bezpieczeństwa swojej firmy online 🛡️.

  • Detectify współpracuje z własną społecznością etycznych hakerów, którzy nieustannie badają nowe luki. Dzięki temu otrzymujesz alerty generowane z perspektywy prawdziwego napastnika.
  • Większość narzędzi bazuje na sygnaturach i testowaniu wersji, co jest bardziej związane z zgodnością niż faktycznym bezpieczeństwem. Hakerzy współpracujący z Detectify dostarczają realne scenariusze ataku, które są wykorzystywane do tworzenia testów. To daje unikalny zestaw testów, niedostępny w innych produktach.
  • Rezultatem jest skuteczniejsza metoda weryfikacji bezpieczeństwa, która dostarcza tylko zweryfikowane wyniki.
  • Otrzymujesz informacje o faktycznych zagrożeniach, które warto wyeliminować!

Na ich blogu możemy przeczytać, że czas potrzebny na opracowanie testów dla Monitorowania Zasobów został skrócony do zaledwie 25 minut od momentu zgłoszenia luki przez hakera.

Czy to brzmi interesująco?

Zobaczmy, jak to działa.

Pierwszym krokiem do rozpoczęcia pracy z Detectify Asset Monitoring jest potwierdzenie, że jesteś właścicielem domeny, która ma być monitorowana, lub że posiadasz uprawnienia do przeprowadzenia testów bezpieczeństwa. Ten krok jest niezbędny, aby zapobiec dostaniu się wrażliwych informacji w niepowołane ręce.

Weryfikacji domeny można dokonać na kilka sposobów: poprzez przesłanie pliku .txt do głównego katalogu domeny, z wykorzystaniem Google Analytics, rekordu DNS lub metatagu na stronie internetowej. Dostępna jest również opcja weryfikacji wspomaganej, jeśli żadna z metod samoobsługi nie zadziała.

Tworzenie profilu skanowania

Kolejnym krokiem jest utworzenie profilu skanowania, który można przypisać do dowolnej domeny, subdomeny lub adresu IP Twojej witryny, na której działają usługi HTTP lub HTTPS.

Po skonfigurowaniu profilu skanowania, można ustawić różne opcje.

Możesz na przykład powiązać dwa profile z tą samą domeną, ale różnymi danymi uwierzytelniającymi. Dzięki temu można przeprowadzić dwa odrębne skanowania na tym samym serwerze i porównać wyniki.

Po konfiguracji profilu, można rozpocząć skanowanie, klikając przycisk „Rozpocznij skanowanie” przy wybranym profilu. Panel sterowania zmieni się, informując o trwającym skanowaniu.

Czas skanowania zależy od wielkości Twojej witryny. W przypadku dużej zawartości skanowanie może potrwać kilka godzin, a w jego trakcie może wystąpić niewielkie spowolnienie działania witryny. Zaleca się przeprowadzanie skanowania w czasie mniejszego obciążenia serwera.

Raporty ze skanowania

Po zakończeniu skanowania otrzymasz wiadomość e-mail z powiadomieniem. W wiadomości znajdziesz informacje o czasie trwania skanowania, liczbie znalezionych problemów podzielonych według ich ważności oraz ogólną ocenę bezpieczeństwa Twojej witryny.

Możesz sprawdzić, które adresy URL zostały przeanalizowane, przechodząc do raportu ze skanowania i klikając na „Zindeksowane adresy URL”. Sekcja szczegółów pokaże, ile adresów URL robot próbował odwiedzić i ile z nich zostało zidentyfikowanych jako unikalne.

Na dole strony znajdziesz link do pobrania pliku CSV z listą wszystkich zindeksowanych adresów URL i ich kodem stanu. Możesz przejrzeć tę listę, aby upewnić się, że wszystkie ważne obszary witryny zostały sprawdzone.

Aby zaplanować działania naprawcze i uzyskać lepsze wyniki w kolejnych skanowaniach, Detectify umożliwia oznaczenie każdego wykrytego problemu jako „Naprawiony”, „Zaakceptowane ryzyko” lub „Fałszywie pozytywny”. Jeśli oznaczysz problem jako „Naprawiony”, skaner zachowa tę informację w kolejnych raportach. „Zaakceptowane ryzyko” to problem, który nie wymaga zgłaszania przy każdym skanowaniu. „Fałszywie pozytywny” oznacza, że wykryty problem nie stanowi faktycznego zagrożenia.

Okazuje się, że wiele rzeczy do naprawy, o których wcześniej nie miałem pojęcia.

Detectify oferuje wiele różnych widoków, które ułatwiają analizę wyników skanowania. Widok „Wszystkie testy” pokazuje wszystkie luki wykryte podczas skanowania. Jeśli znasz klasyfikację OWASP, możesz użyć widoku OWASP, aby sprawdzić, jak bardzo Twoja witryna jest podatna na 10 najpopularniejszych zagrożeń.

Aby dostosować przyszłe skanowania, możesz użyć opcji białej/czarnej listy. Pozwala ona na dodanie obszarów witryny, które mogą być ukryte, ponieważ nie prowadzą do nich żadne linki. Możesz też zablokować dostęp do ścieżek, do których skaner nie powinien mieć dostępu.

Spis aktywów

Strona z inwentarzem zasobów zawiera listę zasobów głównych, takich jak domeny lub adresy IP. Znajdziesz tam wiele przydatnych informacji, które pomogą Ci zabezpieczyć swoje inwestycje w IT. Niebieska lub szara ikona obok każdego zasobu pokazuje, czy monitorowanie jest dla niego włączone czy wyłączone.

Możesz kliknąć dowolny zasób, aby uzyskać jego przegląd. W tym miejscu możesz sprawdzić subdomeny, profile skanowania, technologie, wyniki monitorowania, ustawienia zasobów i inne informacje.

Wyniki monitorowania zasobów

Wykryte problemy są grupowane w trzy kategorie według ich wagi: wysoka, średnia i niska.

Wysokie zagrożenia to głównie te, w których poufne informacje, takie jak dane uwierzytelniające lub hasła klientów, są ujawniane publicznie lub mogą zostać wykorzystane w przyszłości.

Średnie zagrożenia to sytuacje, w których pewne informacje zostają ujawnione. Chociaż takie ujawnienie samo w sobie nie jest groźne, może zostać wykorzystane przez hakerów w połączeniu z innymi informacjami.

Niskie zagrożenia to subdomeny, które mogą zostać potencjalnie przejęte i których własność należy zweryfikować.

Detectify dostarcza bazę wiedzy z opisami rozwiązań i wskazówkami, które pomogą Ci uporać się z problemami znalezionymi podczas skanowania. Po wprowadzeniu poprawek możesz przeprowadzić ponowne skanowanie, aby sprawdzić, czy problemy zostały rozwiązane. Dostępne są opcje eksportu raportów do plików PDF, XML lub JSON, co umożliwia udostępnianie ich osobom trzecim lub importowanie do narzędzi takich jak Trello czy JIRA.

Jak najlepiej wykorzystać Detectify

Poradnik Detectify zaleca dodanie nazwy domeny bez subdomen, aby uzyskać pełny obraz całej witryny (jeśli nie jest ona zbyt duża). Skanowanie ma limit czasowy wynoszący 9 godzin, po którym przechodzi do kolejnego etapu. Z tego powodu dobrym rozwiązaniem może być podzielenie domeny na mniejsze profile skanowania.

Pierwsze skanowanie może ujawnić, że niektóre zasoby są bardziej podatne na zagrożenia niż inne. To kolejny powód, aby podzielić domenę na mniejsze profile skanowania. Powinieneś zidentyfikować najbardziej newralgiczne subdomeny i utworzyć dla nich oddzielne profile.

Zwróć szczególną uwagę na listę „Discovered Hosts”, ponieważ mogą pojawić się na niej nieoczekiwane elementy. Na przykład systemy, o których istnieniu nie miałeś pojęcia. Lista ta pomaga zidentyfikować najważniejsze aplikacje, które wymagają bardziej dogłębnej analizy i osobnego profilu skanowania.

Detectify zaleca zdefiniowanie mniejszych zakresów dla każdego profilu, aby uzyskać dokładniejsze i bardziej spójne wyniki. Warto też łączyć w profile podobne technologie. Dzięki temu skaner będzie mógł przeprowadzać bardziej odpowiednie testy.

Podsumowanie

Inwentaryzacja i monitorowanie zasobów są kluczowe dla każdej witryny internetowej, niezależnie od jej rozmiaru i branży (e-commerce, SaaS, handel detaliczny, finanse). Nie pozostawiaj żadnych aktywów bez nadzoru. Wypróbuj darmowy test na 2 tygodnie, aby sprawdzić, jak Detectify może pomóc w wykrywaniu luk i poprawie bezpieczeństwa Twoich aplikacji.


newsblog.pl