Hvordan sikrer du, at din applikation og infrastruktur er sikret mod sikkerhedssårbarheder?
Detectify tilbyder en komplet suite af aktivopgørelses- og overvågningsløsninger, der inkluderer sårbarhedsscanning, værtsopdagelse og softwarefingeraftryk. Dets brug kan hjælpe med at undgå ubehagelige overraskelser, såsom ukendte værter, der præsenterer sårbarheder eller underdomæner, der let kan kapres.
Mange ting kan gå galt, og en angriber kan drage fordel af det. Nogle almindelige er:
- Holder unødvendige porte åbne
- Eksponering af usikkert underdomæne, følsomme filer, legitimationsoplysninger
- Holder .git tilgængeligt
- Potentielle OWASP top sårbarheder såsom XSS, SSRF, RCE
Du kan diskutere, at jeg manuelt kan køre portscanneren, finde sub-domæne, teste for sårbarheder osv. Det er godt, hvis du gør det en gang eller en gang imellem, men det vil være tidskrævende og ikke omkostningseffektivt, når du skal gøre det ofte.
Så hvad er løsningen?
Gå efter Opdag aktivovervågningsom overvåger din webapplikations aktiver og udfører en regelmæssig scanning for frem for alt diskuterede og mange andre kontroller for at holde din online forretning sikker 🛡️.
- Detectify er vært for deres eget private fællesskab af etiske hackere for at crowdsource sårbarhedsforskning, så det giver dig advarsler fra en rigtig angribers perspektiv.
- Andre værktøjer er afhængige af signaturer og versionstest, hvilket er mere som compliance end faktisk sikkerhed. Detectify-hackerne leverer de faktiske nyttelaster, som bruges til at bygge sikkerhedstestene, hvilket giver et unikt sæt af test, som ikke ses i andre produkter på markedet.
- Resultatet? En mere sikker måde til sikkerhedstestning, der kun giver dig resultater, der kan verificeres
- Sikkerhedsfund, der faktisk er interessant at rette op på!
I deres blognævner de, at Asset Monitoring-testudviklingstiden er blevet skåret ned til så hurtigt som 25 minutter fra hackeren til udgivelsen.
Lyder interessant?
Lad os se, hvordan det virker.
For at begynde at arbejde med Detectify Asset Monitoring er det første trin at verificere, at du ejer det domæne, du vil overvåge, eller du er autoriseret til at udføre en sikkerhedsscanning. Dette er et nødvendigt skridt, Detectify tager for at sikre, at de følsomme oplysninger, den afslører, ikke ender i de forkerte hænder.
Vi kan foretage domænebekræftelse på flere måder: ved at uploade en specifik .txt-fil til dit domænes rodmappe, med Google Analytics, gennem en DNS-record eller med et metatag på en webside. Der er også mulighed for assisteret verifikation, hvis ingen af selvbetjeningsmetoderne virker for dig.
Indholdsfortegnelse
Oprettelse af en scanningsprofil
Det andet trin i opsætningen af Detectify er at oprette en scanningsprofil, som kan knyttes til ethvert domæne, underdomæne eller IP-adresse fra dit websted med HTTP- eller HTTPS-tjenester, der kører på det.
Når du har konfigureret en scanningsprofil, kan du konfigurere den med forskellige muligheder.
For eksempel kan du have to profiler tilknyttet det samme domæne, men med forskellige legitimationsoplysninger. På den måde kan du udføre to forskellige scanninger på den samme server og sammenligne resultaterne.
Når din scanningsprofil er konfigureret, er du klar til at scanne, hvilket du blot gør ved at trykke på knappen Start scanning ud for den scanningsprofil, du vil bruge. Dashboardet ændres for at vise, at en scanning er i gang.
Tiden til at udføre scanningen afhænger af webstedets indholdsvolumen. Hvis lydstyrken er ret stor, kan scanningen tage timer, og du vil muligvis bemærke en lille forringelse af webstedets ydeevne, mens scanningen er i gang. Så mit råd er at udføre scanninger, når dit websted er mindre travlt.
Scan rapporter
Når Detectify er færdig med at scanne dit websted, vil du modtage en e-mail, der fortæller dig det. I den e-mail vil den informere dig om den tid, det tog at udføre scanningen, antallet af fundne problemer grupperet efter deres sværhedsgrad og en samlet trusselscore, der viser, hvor godt eller dårligt webstedet er med hensyn til sikkerhed.
Du kan se, hvilke webadresser der blev crawlet under scanningen ved at gå til den seneste scanningsrapport og klikke på punktet “Crawlede URL’er” på listen over oplysninger. Sektionen Detaljer viser, hvor mange URL’er crawleren forsøgte at få adgang til under scanningen, og hvor mange af dem, der blev identificeret som unikke.
Der er et hyperlink nederst på siden for at downloade en CSV-fil, der indeholder alle de crawlede URL’er og statuskoden for hver enkelt. Du kan gennemgå denne liste for at sikre, at alle de vigtige dele af dit websted er blevet besøgt.
For at planlægge udbedring og for at få mere præcise resultater i fremtidige scanninger, giver Detectify dig mulighed for at mærke hvert fund som “Fixed”, “Accepted risk” eller “False positive”. Hvis du mærker et fund som “Fixed”, vil scanneren bruge det samme tag i fremtidige rapporter, så du behøver ikke at håndtere det igen for at afhjælpe det. En “Accepteret risiko” er noget, du ikke ønsker at få rapporteret ved hver scanning, mens “Falsk positiv” er et fund, der kan ligne en sårbarhed, selvom det ikke er det.
Ah! mange fund at rette, som jeg aldrig troede.
Detectify tilbyder mange forskellige sider og visninger for at se scanningsresultaterne. Visningen “Alle tests” giver dig mulighed for at se alle de sårbarheder, som scanningen opdagede. Hvis du er bekendt med OWASP-klassificeringen, kan du tjekke OWASP-visningen for at se, hvor sårbar dit websted er over for de 10 største sårbarheder.
For at finjustere fremtidige scanninger kan du bruge Detectifys hvide/sortlistemuligheder til at tilføje dine webstedsområder, der kan være skjult, fordi ingen links peger på dem. Eller du kan forbyde stier, som du ikke ønsker, at crawleren skal komme ind på.
Aktivbeholdningen
Detectifys aktivopgørelsesside viser en liste over rodaktiver – såsom tilføjede domæner eller IP-adresser – med en masse nyttig information, der vil hjælpe dig med at sikre dine it-investeringer. Ved siden af hvert aktiv angiver et blåt eller gråt ikon, om aktivovervågning er slået til eller fra for det.
Du kan klikke på et hvilket som helst af aktiverne i opgørelsen for at få et overblik over det. Derfra kan du undersøge underdomæne, scanningsprofiler, fingeraftryksteknologier, fund af aktivovervågning, aktivindstillinger og meget mere.
Resultater af aktivovervågning
Den grupperer resultaterne i tre kategorier efter deres sværhedsgrad: høj, medium og lav.
Resultater på højt niveau afspejler for det meste problemer, hvor følsom information (f.eks. kundeoplysninger eller adgangskoder) bliver udsat for offentligheden eller potentielt kan udnyttes.
Fund på mellemniveau viser situationer, hvor det blotlægger nogle oplysninger. Selvom denne eksponering måske ikke er skadelig i sig selv, kan en hacker drage fordel af den ved at kombinere den med andre oplysninger.
Endelig viser resultater på lavt niveau underdomæner, der potentielt kan overtages og bør kontrolleres for at verificere deres ejerskab.
Detectify leverer en vidensbase med masser af rettelser og afhjælpningstip, der hjælper dig med at håndtere de fund, du støder på under scanningen. Når du har truffet handling for at afhjælpe problemerne, kan du køre en anden scanning for at kontrollere, om problemerne er blevet afhjulpet effektivt. Eksportindstillinger giver dig mulighed for at oprette PDF-, XML- eller JSON-filer med resultatrapporter for at sende dem til tredjeparter eller tjenester såsom Trello eller JIRA.
Få mest muligt ud af Detectify
Detectifys bedste praksis guide anbefaler, at du tilføjer et domænenavn uden underdomæner for at få et overblik over hele dit websted, hvis det ikke er for stort. Men der er en tidsbegrænsning på 9 timer for en hel scanning, hvorefter scanneren hopper til næste fase af processen. Af den grund kunne det være en god idé at opdele dit domæne i mindre scanningsprofiler.
Din første scanning kan vise dig, at nogle aktiver har flere sårbarheder end andre. Det er en anden grund – udover scanningens varighed – til at begynde at nedbryde dit domæne. Du bør identificere de mest kritiske underdomæner og oprette en scanningsprofil for hvert enkelt af dem.
Vær opmærksom på listen “Opdagede værter”, da den kan vise dig nogle uventede fund. For eksempel systemer, som du ikke vidste, du havde. Denne liste er nyttig til at identificere de mest afgørende applikationer, der fortjener en mere dybdegående scanning og derfor en individuel scanningsprofil.
Detectify foreslår, at det er bedre at definere mindre omfang for hver scanningsprofil, fordi det kan få mere nøjagtige og ensartede resultater. Det er også en god idé at nedbryde scopes ved at samle lignende teknologier eller rammer inden for hver profil. På denne måde vil scanneren være i stand til at køre mere relevante tests for hver scanningsprofil.
Konklusion
Aktivbeholdning og overvågning er afgørende for enhver størrelse og hjemmeside, herunder e-handel, SaaS, detailhandel, finansiel og markedsplads. Opbevar ikke noget aktiv uden opsyn; prøv prøve i 2 uger for at se, hvordan det kan hjælpe dig med at finde smuthuller for at forbedre webapplikationssikkerheden.
