Jak zapewnić ochronę aplikacji i infrastruktury przed lukami w zabezpieczeniach?
Detectify oferuje kompletny zestaw rozwiązań do inwentaryzacji zasobów i monitorowania, który obejmuje skanowanie luk w zabezpieczeniach, wykrywanie hostów i pobieranie odcisków palców oprogramowania. Jego użycie może pomóc uniknąć przykrych niespodzianek, takich jak nieznane hosty, które mają luki w zabezpieczeniach lub subdomeny, które można łatwo przejąć.
Wiele rzeczy może pójść nie tak, a atakujący może to wykorzystać. Niektóre z nich to:
- Pozostawianie otwartych niepotrzebnych portów
- Ujawnianie niezabezpieczonej subdomeny, poufnych plików, poświadczeń
- Zapewnienie dostępności .git
- Potencjalne najczęstsze luki OWASP, takie jak XSS, SSRF, RCE
Możesz dyskutować, czy mogę ręcznie uruchomić skaner portów, znaleźć subdomenę, przetestować luki w zabezpieczeniach itp. Jest to dobre, jeśli robisz to raz lub raz na jakiś czas, ale będzie to czasochłonne i nieopłacalne, gdy musisz to robić często.
Więc jakie jest rozwiązanie?
Idź po Wykryj monitorowanie zasobówktóry monitoruje zasoby Twojej aplikacji internetowej i przeprowadza regularne skanowanie pod kątem wyżej omówionych i wielu innych kontroli, aby zapewnić bezpieczeństwo Twojej firmy online 🛡️.
- Detectify jest gospodarzem własnej prywatnej społeczności etycznych hakerów, którzy zajmują się badaniem luk w zabezpieczeniach, dzięki czemu otrzymujesz alerty z perspektywy prawdziwego atakującego.
- Inne narzędzia opierają się na sygnaturach i testowaniu wersji, co bardziej przypomina zgodność niż faktyczne bezpieczeństwo. Hakerzy Detectify zapewniają rzeczywiste ładunki, które są wykorzystywane do tworzenia testów bezpieczeństwa, dając unikalny zestaw testów, którego nie można znaleźć w innych produktach na rynku.
- Wynik? Bardziej pewny sposób testowania bezpieczeństwa, który daje tylko wyniki, które można zweryfikować
- Ustalenia dotyczące bezpieczeństwa, które są naprawdę interesujące do naprawienia!
w ich blogwspominają, że czas opracowywania testów Asset Monitoring został skrócony do zaledwie 25 minut od momentu udostępnienia przez hakera.
Brzmi interesująco?
Zobaczmy, jak to działa.
Aby rozpocząć pracę z Detectify Asset Monitoring, pierwszym krokiem jest zweryfikowanie, czy jesteś właścicielem domeny, którą zamierzasz monitorować, lub czy jesteś upoważniony do przeprowadzenia skanowania bezpieczeństwa. Jest to niezbędny krok, jaki podejmuje Detectify, aby mieć pewność, że ujawniane przez nią poufne informacje nie trafią w niepowołane ręce.
Weryfikację domeny możemy przeprowadzić na kilka sposobów: przesyłając określony plik .txt do katalogu głównego domeny, za pomocą Google Analytics, za pomocą rekordu DNS lub metatagu na stronie internetowej. Istnieje również opcja weryfikacji wspomaganej, jeśli żadna z metod samoobsługi nie działa.
Spis treści:
Tworzenie profilu skanowania
Drugim krokiem w konfiguracji Detectify jest utworzenie profilu skanowania, który można powiązać z dowolną domeną, subdomeną lub adresem IP z Twojej witryny z uruchomionymi na niej usługami HTTP lub HTTPS.
Po skonfigurowaniu profilu skanowania można skonfigurować różne opcje.
Na przykład możesz mieć dwa profile powiązane z tą samą domeną, ale z różnymi danymi uwierzytelniającymi. W ten sposób możesz wykonać dwa różne skany na tym samym serwerze i porównać wyniki.
Po skonfigurowaniu profilu skanowania będziesz gotowy do skanowania, co możesz zrobić, naciskając przycisk Rozpocznij skanowanie obok profilu skanowania, którego chcesz użyć. Pulpit nawigacyjny zmieni się, aby pokazać, że skanowanie jest w toku.
Czas wykonania skanowania zależy od objętości zawartości witryny. Jeśli wolumen jest dość duży, skanowanie może zająć kilka godzin, aw trakcie skanowania możesz zauważyć nieznaczne pogorszenie wydajności witryny. Dlatego radzę przeprowadzać skanowanie, gdy Twoja witryna jest mniej obciążona.
Skanuj raporty
Kiedy Detectify zakończy skanowanie Twojej witryny, otrzymasz wiadomość e-mail z informacją. W tej wiadomości e-mail poinformuje Cię o czasie potrzebnym do wykonania skanowania, liczbie znalezionych problemów pogrupowanych według ich wagi oraz ogólnej ocenie zagrożeń, która pokazuje, jak dobra lub zła jest strona pod względem bezpieczeństwa.
Możesz zobaczyć, które adresy URL zostały zindeksowane podczas skanowania, przechodząc do ostatniego raportu ze skanowania i klikając pozycję „Zindeksowane adresy URL” na liście znalezionych informacji. Sekcja Szczegóły pokazuje, do ilu adresów URL robot indeksujący próbował uzyskać dostęp podczas skanowania i ile z nich zostało zidentyfikowanych jako unikalne.
Na dole strony znajduje się hiperłącze umożliwiające pobranie pliku CSV zawierającego wszystkie zindeksowane adresy URL i kod stanu każdego z nich. Możesz przejrzeć tę listę, aby upewnić się, że wszystkie ważne części Twojej witryny zostały odwiedzone.
Aby zaplanować środki zaradcze i uzyskać dokładniejsze wyniki w przyszłych skanach, Detectify pozwala oznaczyć każde znalezisko jako „Naprawione”, „Zaakceptowane ryzyko” lub „Fałszywie pozytywne”. Jeśli oznaczysz znalezisko jako „Naprawione”, skaner użyje tego samego tagu w przyszłych raportach, więc nie będziesz musiał ponownie zajmować się nim w celu naprawy. „Zaakceptowane ryzyko” to coś, czego nie chcesz zgłaszać przy każdym skanowaniu, podczas gdy „fałszywie pozytywny wynik” to odkrycie, które może przypominać lukę w zabezpieczeniach, chociaż nią nie jest.
Ach! wiele ustaleń do naprawienia, o których nigdy nie myślałem.
Detectify oferuje wiele różnych stron i widoków, aby zobaczyć wyniki skanowania. Widok „Wszystkie testy” pozwala zobaczyć wszystkie luki wykryte podczas skanowania. Jeśli znasz klasyfikację OWASP, możesz sprawdzić widok OWASP, aby zobaczyć, jak podatna jest Twoja witryna na 10 największych luk w zabezpieczeniach.
Aby dostroić przyszłe skanowanie, możesz użyć opcji białej/czarnej listy Detectify, aby dodać obszary witryny, które mogą być ukryte, ponieważ nie prowadzą do nich żadne linki. Możesz też zabronić dostępu do ścieżek, do których robot indeksujący nie ma wstępu.
Spis aktywów
Strona inwentaryzacji zasobów Detectify zawiera listę zasobów głównych — takich jak dodane domeny lub adresy IP — z wieloma przydatnymi informacjami, które pomogą Ci zabezpieczyć inwestycje w IT. Obok każdego zasobu niebieska lub szara ikona wskazuje, czy monitorowanie zasobów jest dla niego włączone, czy wyłączone.
Możesz kliknąć dowolne aktywa w ekwipunku, aby uzyskać ich przegląd. Stamtąd możesz sprawdzić subdomenę, profile skanowania, technologie odcisków palców, wyniki monitorowania zasobów, ustawienia zasobów i wiele więcej.
Wyniki monitorowania zasobów
Grupuje wyniki wyszukiwania w trzy kategorie według ich wagi: wysoka, średnia i niska.
Ustalenia wysokiego poziomu odzwierciedlają głównie kwestie, w których poufne informacje (np. dane uwierzytelniające lub hasła klientów) są ujawniane opinii publicznej lub mogą być potencjalnie wykorzystane.
Ustalenia na średnim poziomie pokazują sytuacje, w których ujawnia pewne informacje. Chociaż to ujawnienie może samo w sobie nie być szkodliwe, haker może je wykorzystać, łącząc je z innymi informacjami.
Wreszcie ustalenia niskiego poziomu pokazują subdomeny, które potencjalnie mogłyby zostać przejęte i które należy sprawdzić, aby zweryfikować ich własność.
Detectify zapewnia bazę wiedzy z wieloma poprawkami i wskazówkami dotyczącymi środków zaradczych, które pomogą Ci poradzić sobie z wynikami napotkanymi podczas skanowania. Po podjęciu działań w celu rozwiązania problemów możesz uruchomić drugie skanowanie, aby sprawdzić, czy problemy zostały skutecznie rozwiązane. Opcje eksportu umożliwiają tworzenie plików PDF, XML lub JSON z raportami wyników w celu wysłania ich do stron trzecich lub usług, takich jak Trello lub JIRA.
Maksymalne wykorzystanie Detectify
Przewodnik po najlepszych praktykach Detectify zaleca dodanie nazwy domeny bez subdomen, aby uzyskać przegląd całej witryny, jeśli nie jest ona zbyt duża. Istnieje jednak limit czasowy wynoszący 9 godzin na całe skanowanie, po którym skaner przechodzi do następnej fazy procesu. Z tego powodu dobrym pomysłem może być podzielenie domeny na mniejsze profile skanowania.
Twoje pierwsze skanowanie może pokazać, że niektóre zasoby mają więcej luk niż inne. To kolejny powód – poza czasem skanowania – aby zacząć rozkładać domenę. Powinieneś zidentyfikować najbardziej krytyczne subdomeny i utworzyć profil skanowania dla każdej z nich.
Zwróć uwagę na listę „Discovered Hosts”, ponieważ może ona pokazać nieoczekiwane wyniki. Na przykład systemy, o których istnieniu nie wiedziałeś. Ta lista jest przydatna do zidentyfikowania najważniejszych aplikacji, które zasługują na bardziej dogłębne skanowanie, a tym samym indywidualny profil skanowania.
Detectify sugeruje, że lepiej jest zdefiniować mniejsze zakresy dla każdego profilu skanowania, ponieważ może to uzyskać dokładniejsze i spójne wyniki. Dobrym pomysłem jest również podzielenie zakresów, łącząc podobne technologie lub ramy w ramach każdego profilu. W ten sposób skaner będzie mógł przeprowadzić bardziej odpowiednie testy dla każdego profilu skanowania.
Wniosek
Inwentaryzacja i monitorowanie zasobów mają kluczowe znaczenie dla dowolnej wielkości i witryny internetowej, w tym eCommerce, SaaS, handlu detalicznego, finansowego i marketplace. Nie pozostawiaj żadnych aktywów bez opieki; Spróbuj test na 2 tygodnie aby zobaczyć, jak może pomóc znaleźć luki w celu poprawy bezpieczeństwa aplikacji internetowych.
