Hvordan sikrer du at applikasjonen og infrastrukturen er sikret mot sikkerhetssårbarheter?
Detectify tilbyr en komplett pakke med aktivabeholdning og overvåkingsløsninger som inkluderer sårbarhetsskanning, vertsoppdagelse og programvarefingeravtrykk. Bruken kan bidra til å unngå ubehagelige overraskelser, for eksempel ukjente verter som presenterer sårbarheter eller underdomener som lett kan kapres.
Mange ting kan gå galt, og en angriper kan dra nytte av det. Noen vanlige er:
- Holder unødvendige porter åpne
- Avsløre usikkert underdomene, sensitive filer, legitimasjon
- Holder .git tilgjengelig
- Potensielle OWASP-toppsårbarheter som XSS, SSRF, RCE
Du kan diskutere at jeg kan kjøre portskanneren manuelt, finne subdomene, teste for sårbarheter osv. Dette er bra om du gjør det en gang i blant, men det vil være tidkrevende og ikke kostnadseffektivt når du må gjøre det ofte.
Så hva er løsningen?
Gå for Oppdag aktivaovervåkingsom overvåker nettapplikasjonens eiendeler og utfører en regelmessig skanning for fremfor alt diskuterte og mange andre kontroller for å holde nettvirksomheten din trygg 🛡️.
- Detectify er vert for sitt eget private fellesskap av etiske hackere for å crowdsource sårbarhetsundersøkelser, så det gir deg varsler fra en ekte angripers perspektiv.
- Andre verktøy er avhengige av signaturer og versjonstesting som ligner mer på samsvar enn faktisk sikkerhet. Detectify-hackerne gir de faktiske nyttelastene som brukes til å bygge sikkerhetstestene, og gir et unikt sett med tester som ikke er sett i andre produkter på markedet.
- Resultatet? En mer sikker måte for sikkerhetstesting som bare gir deg resultater som kan verifiseres
- Sikkerhetsfunn som faktisk er interessante å fikse!
I deres bloggnevner de at Asset Monitoring-testutviklingstiden er kuttet ned til så fort som 25 minutter fra hackeren til utgivelsen.
Høres interessant ut?
La oss se hvordan det fungerer.
For å begynne å jobbe med Detectify Asset Monitoring, er det første trinnet å bekrefte at du eier domenet du skal overvåke, eller at du er autorisert til å utføre en sikkerhetsskanning. Dette er et nødvendig skritt Detectify tar for å sikre at den sensitive informasjonen den avslører ikke ender i feil hender.
Vi kan gjøre domeneverifisering på flere måter: ved å laste opp en spesifikk .txt-fil til domenets rotkatalog, med Google Analytics, gjennom en DNS-post eller med en metatag på en nettside. Det er også et alternativ for assistert verifisering hvis ingen av selvbetjeningsmetodene fungerer for deg.
Innholdsfortegnelse
Opprette en skanneprofil
Det andre trinnet i å sette opp Detectify er å opprette en skanneprofil, som kan knyttes til et hvilket som helst domene, underdomene eller IP-adresse fra nettstedet ditt med HTTP- eller HTTPS-tjenester som kjører på den.
Etter at du har satt opp en skanneprofil, kan du konfigurere den med forskjellige alternativer.
Du kan for eksempel ha to profiler knyttet til samme domene, men med forskjellig legitimasjon. På den måten kan du utføre to forskjellige skanninger på samme server og sammenligne resultatene.
Når skanneprofilen din er konfigurert, er du klar til å skanne, noe du gjør ved å trykke på Start skanning-knappen ved siden av skanneprofilen du vil bruke. Dashbordet endres for å vise at en skanning pågår.
Tiden for å utføre skanningen avhenger av innholdet på nettstedet. Hvis volumet er ganske stort, kan skanningen ta timer, og du kan merke en liten forringelse av nettstedets ytelse mens skanningen pågår. Så mitt råd er å utføre skanninger når nettstedet ditt er mindre opptatt.
Skann rapporter
Når Detectify er ferdig med å skanne nettstedet ditt, vil du motta en e-post som forteller deg det. I den e-posten vil den informere deg om tiden det tok å utføre skanningen, antall problemer som ble funnet gruppert etter alvorlighetsgrad, og en samlet trusselpoengsum som viser hvor bra eller dårlig nettstedet er når det gjelder sikkerhet.
Du kan se hvilke nettadresser som ble gjennomsøkt under skanningen ved å gå til den siste skannerapporten og klikke på elementet «Gjennomsøkte nettadresser» i listen over informasjonsfunn. Detaljer-delen viser hvor mange nettadresser søkeroboten prøvde å få tilgang til under skanningen, og hvor mange av disse som ble identifisert som unike.
Det er en hyperkobling nederst på siden for å laste ned en CSV-fil som inneholder alle de gjennomsøkte nettadressene og statuskoden til hver enkelt. Du kan gå gjennom denne listen for å sikre at alle viktige deler av nettstedet ditt har blitt besøkt.
For å planlegge utbedring og for å få mer nøyaktige resultater i fremtidige skanninger, lar Detectify deg merke hvert funn som «Fixed», «Accepted risk» eller «False positive». Hvis du merker et funn som «Fixed», vil skanneren bruke den samme taggen i fremtidige rapporter, slik at du ikke trenger å håndtere det igjen for utbedring. En «akseptert risiko» er noe du ikke ønsker å få rapportert på hver skanning, mens «falsk positiv» er et funn som kan ligne på en sårbarhet, selv om det ikke er det.
Ah! mange funn å fikse som jeg aldri trodde.
Detectify tilbyr mange forskjellige sider og visninger for å se skanneresultatene. «Alle tester»-visningen lar deg se alle sårbarhetene skanningen oppdaget. Hvis du er kjent med OWASP-klassifiseringen, kan du sjekke ut OWASP-visningen for å se hvor sårbart nettstedet ditt er for de 10 beste sårbarhetene.
For å finjustere fremtidige skanninger kan du bruke Detectifys hvite/svartelistealternativer for å legge til nettstedsområder som kan være skjult fordi ingen lenker peker til dem. Eller du kan nekte stier som du ikke vil at robotsøkeprogrammet skal komme inn på.
Eiendelsbeholdningen
Detectifys aktivabeholdningsside viser en liste over rotressurser – for eksempel lagt til domener eller IP-adresser – med mye nyttig informasjon som vil hjelpe deg med å sikre IT-investeringene dine. Ved siden av hver aktiva viser et blått eller grått ikon om aktivaovervåking er slått på eller av for det.
Du kan klikke på hvilken som helst av eiendelene i inventaret for å få en oversikt over den. Derfra kan du undersøke underdomene, skanneprofiler, fingeravtrykksteknologier, funn fra aktivaovervåking, aktivainnstillinger og mye mer.
Funn fra aktivaovervåking
Den grupperer resultater i tre kategorier i henhold til alvorlighetsgraden: høy, middels og lav.
Funn på høyt nivå gjenspeiler for det meste problemer der sensitiv informasjon (f.eks. kundelegitimasjon eller passord) blir eksponert for offentligheten eller potensielt kan utnyttes.
Funn på middels nivå viser situasjoner der det avslører noe informasjon. Selv om denne eksponeringen kanskje ikke er skadelig i seg selv, kan en hacker dra nytte av den ved å kombinere den med annen informasjon.
Til slutt viser funn på lavt nivå underdomener som potensielt kan overtas og bør sjekkes for å bekrefte eierskapet.
Detectify gir en kunnskapsbase med mange rettelser og utbedringstips for å hjelpe deg med å håndtere funnene du oppdager under skanningen. Når du iverksetter tiltak for å utbedre problemene, kan du kjøre en ny skanning for å sjekke om problemene har blitt utbedret effektivt. Eksporteringsalternativer lar deg lage PDF-, XML- eller JSON-filer med funnrapporter for å sende dem til tredjeparter eller tjenester som Trello eller JIRA.
Få mest mulig ut av Detectify
Detectifys guide for beste praksis anbefaler å legge til et domenenavn uten underdomener for å få en oversikt over hele nettstedet ditt hvis det ikke er for stort. Men det er en tidsbegrensning på 9 timer for en hel skanning, hvoretter skanneren hopper til neste fase av prosessen. Av den grunn kan det være en god idé å dele opp domenet ditt i mindre skanneprofiler.
Din første skanning kan vise deg at noen eiendeler har flere sårbarheter enn andre. Det er en annen grunn – i tillegg til skanningens varighet – til å begynne å bryte ned domenet ditt. Du bør identifisere de mest kritiske underdomenene og opprette en skanneprofil for hvert av dem.
Vær oppmerksom på «Oppdagede verter»-listen, siden den kan vise deg noen uventede funn. For eksempel systemer du ikke visste du hadde. Denne listen er nyttig for å identifisere de mest avgjørende applikasjonene som fortjener en mer dyptgående skanning og derfor en individuell skanneprofil.
Detectify foreslår at det er bedre å definere mindre omfang for hver skanneprofil fordi det kan få mer nøyaktige og konsistente funn. Det er også en god idé å bryte ned omfang ved å holde sammen lignende teknologier eller rammeverk innenfor hver profil. På denne måten vil skanneren kunne kjøre mer relevante tester for hver skanneprofil.
Konklusjon
Eiendelsbeholdning og overvåking er avgjørende for enhver størrelse og nettsted, inkludert e-handel, SaaS, detaljhandel, finans og markedsplass. Ikke oppbevar noen eiendeler uten tilsyn; prøv prøve i 2 uker for å se hvordan det kan hjelpe deg med å finne smutthull for å forbedre nettapplikasjonssikkerheten.