Як забезпечити захист вашої програми та інфраструктури від вразливостей?
Для гарантування безпеки ваших онлайн-ресурсів, важливо мати надійний інструмент для відстеження та аналізу потенційних слабких місць. Detectify пропонує комплексне рішення, що включає інвентаризацію активів, моніторинг, сканування на вразливості, виявлення хостів та аналіз програмного забезпечення. Це дозволяє уникнути неприємних несподіванок, таких як невідомі хости, що є потенційно вразливими, або піддомени, що можуть стати легкою ціллю для зловмисників.
Існує багато потенційних загроз, якими можуть скористатися кіберзлочинці. Деякі з найпоширеніших:
- Залишення відкритими непотрібних портів.
- Розкриття незахищених субдоменів, конфіденційних файлів або облікових даних.
- Надання доступу до каталогу .git.
- Вразливості, що входять до списку OWASP Top 10, наприклад XSS, SSRF, RCE.
Ви, звичайно, можете використовувати ручні сканери портів, інструменти для пошуку піддоменів та перевірки вразливостей. Однак, це може бути ефективним лише у випадку одноразових перевірок. Коли ж потрібен регулярний моніторинг, такий підхід стає занадто трудомістким і нерентабельним.
Яке ж рішення?
Зверніть увагу на Detectify Asset Monitoring. Цей інструмент відстежує ваші веб-активи та проводить регулярні сканування для виявлення вищезгаданих та багатьох інших потенційних загроз, гарантуючи безпеку вашого онлайн-бізнесу 🛡️.
- Detectify співпрацює з приватною спільнотою етичних хакерів для краудсорсингового дослідження вразливостей. Це означає, що сповіщення надходять з точки зору реального зловмисника.
- Інші інструменти часто покладаються на підписи та перевірку версій, що є скоріше формальним дотриманням стандартів, ніж реальним забезпеченням безпеки. Натомість, хакери Detectify створюють фактичні корисні навантаження для побудови тестів безпеки, надаючи унікальний набір перевірок, недоступний в інших продуктах.
- Результат? Більш надійний метод перевірки безпеки, який надає лише підтверджені результати.
- Виявлені вразливості дійсно варті виправлення!
У своєму блозі вони повідомляють, що час від моменту виявлення вразливості хакером до випуску оновленого тесту для Asset Monitoring скоротився до 25 хвилин.
Звучить привабливо?
Розглянемо, як це працює.
Для початку роботи з Detectify Asset Monitoring, необхідно підтвердити, що ви є власником домену, який плануєте контролювати, або маєте право на проведення перевірки безпеки. Це важливий крок, який Detectify застосовує для запобігання потрапляння конфіденційної інформації до третіх осіб.
Перевірка домену може бути проведена декількома способами: шляхом завантаження файлу .txt у кореневий каталог домену, за допомогою Google Analytics, через запис DNS або мета-тег на веб-сторінці. Також є можливість скористатися допоміжною перевіркою, якщо жоден з вищезгаданих методів вам не підходить.
Створення профілю сканування
Наступним етапом налаштування Detectify є створення профілю сканування. Цей профіль можна пов’язати з будь-яким доменом, піддоменом або IP-адресою вашого сайту з запущеними службами HTTP або HTTPS.
Після створення профілю, ви можете налаштувати його за допомогою різних параметрів.
Наприклад, можна мати два профілі, пов’язані з одним доменом, але з різними обліковими даними. Таким чином, можна провести два різні сканування на одному сервері та порівняти отримані результати.
Після налаштування профілю сканування, ви готові до запуску сканування. Для цього потрібно натиснути кнопку «Почати сканування» поруч з обраним профілем. Після цього інформаційна панель покаже, що сканування триває.
Час виконання сканування залежить від обсягу контенту сайту. Якщо обсяг значний, сканування може тривати декілька годин. Під час сканування можливе незначне зниження продуктивності сайту, тому рекомендується виконувати сканування у періоди з найменшим навантаженням.
Звіти про сканування
Після завершення сканування, Detectify надішле вам повідомлення електронною поштою. У цьому повідомленні буде вказано час, витрачений на сканування, кількість виявлених проблем, згрупованих за рівнем серйозності, та загальну оцінку загроз, яка показує рівень безпеки сайту.
Переглянути список просканованих URL-адрес можна в останньому звіті сканування, натиснувши на пункт «Проскановані URL-адреси». Розділ «Деталі» відображає, до скількох URL-адрес сканер намагався отримати доступ під час сканування, і скільки з них було ідентифіковано як унікальні.
У нижній частині сторінки є гіперпосилання для завантаження CSV-файлу зі списком усіх просканованих URL-адрес та їхніх кодів статусу. Цей список можна використовувати для перевірки того, що всі важливі частини вашого сайту були проскановані.
Для планування виправлень та отримання точніших результатів під час наступних сканувань, Detectify дозволяє позначати кожен результат як «Виправлено», «Прийнятий ризик» або «Помилковий результат». Якщо ви позначите знахідку як «Виправлено», сканер використовуватиме цей тег у майбутніх звітах, що дозволить уникнути повторної обробки тієї ж проблеми. «Прийнятий ризик» позначає результати, які не потребують повідомлення під час кожного сканування, а «Помилковий результат» позначає результати, які можуть нагадувати вразливість, але нею не є.
Напевно, є багато вразливостей, про які ви раніше не думали.
Detectify надає різноманітні сторінки та перегляди для аналізу результатів сканування. Перегляд «Усі тести» дозволяє побачити всі вразливості, виявлені скануванням. Якщо ви знайомі з класифікацією OWASP, можна скористатися переглядом OWASP для аналізу вразливостей вашого сайту за списком 10 найпоширеніших загроз.
Для точнішого налаштування майбутніх сканувань можна використовувати параметри білого та чорного списків Detectify для додавання частин сайту, які можуть бути приховані від сканера, або блокування певних шляхів, які ви не бажаєте сканувати.
Інвентаризація активів
Сторінка інвентаризації активів Detectify містить перелік кореневих активів, таких як додані домени та IP-адреси, з корисною інформацією, яка допоможе вам захистити ваші інвестиції в ІТ. Індикатор поруч з кожним активом показує, чи ввімкнено моніторинг активів для нього.
Натиснувши на будь-який актив, можна отримати детальну інформацію про нього, включаючи субдомени, профілі сканування, технології відбитків пальців, результати моніторингу, налаштування та інше.
Результати моніторингу активів
Результати аналізу поділяються на три категорії відповідно до рівня серйозності: високий, середній та низький.
Високий рівень серйозності позначає проблеми, пов’язані з витоком конфіденційної інформації, такої як облікові дані користувачів або паролі.
Середній рівень серйозності позначає ситуації, в яких розкривається певна інформація, що сама по собі не є шкідливою, але може бути використана зловмисником в поєднанні з іншою інформацією.
Низький рівень серйозності позначає субдомени, які потенційно можуть бути захоплені, і які потребують перевірки права власності.
Detectify надає базу знань з рекомендаціями щодо усунення виявлених проблем. Після вжиття необхідних заходів, можна запустити повторне сканування для перевірки ефективності виправлень. Є також можливість експортувати результати у файли PDF, XML або JSON для передачі третім сторонам або інтеграції з іншими сервісами.
Максимальна ефективність Detectify
Згідно з рекомендаціями Detectify, для отримання загального огляду сайту краще додавати доменне ім’я без субдоменів, якщо сайт не є дуже великим. Однак, повне сканування обмежене 9 годинами, після чого сканер переходить до наступної фази. З цієї причини, розбиття домену на менші профілі сканування буде більш ефективним.
Перше сканування може показати, що деякі активи мають більше вразливостей, ніж інші. Це ще одна причина, окрім тривалості сканування, для поділу домену. Необхідно визначити найбільш критичні субдомени та створити профіль сканування для кожного з них.
Зверніть увагу на список «Виявлені хости», оскільки він може показати неочікувані результати, наприклад, системи про існування яких ви не знали. Цей список корисний для визначення найбільш важливих програм, що потребують детального сканування та індивідуального профілю.
Detectify рекомендує визначати менші області для кожного профілю сканування, оскільки це забезпечує більш точні та послідовні результати. Також доцільно розділяти області, групуючи схожі технології чи фреймворки в кожному профілі. Це дозволить сканеру виконувати більш відповідні тести для кожного профілю.
Висновок
Інвентаризація та моніторинг активів є критично важливими для веб-сайтів будь-якого розміру, включаючи електронну комерцію, SaaS, роздрібну торгівлю, фінанси. Не залишайте жоден актив поза увагою; скористайтеся двотижневим пробним періодом, щоб побачити, як це рішення може допомогти вам виявити слабкі місця для покращення безпеки ваших веб-додатків.