Як ви гарантуєте, що ваша програма та інфраструктура захищені від вразливостей безпеки?
Detectify пропонує повний набір рішень для інвентаризації активів і моніторингу, які включають сканування вразливостей, виявлення хостів і відбитки програмного забезпечення. Його використання може допомогти уникнути неприємних сюрпризів, таких як невідомі хости, які представляють вразливі місця, або субдомени, які можна легко зламати.
Багато чого може піти не так, і зловмисник може цим скористатися. Деякі поширені:
- Тримайте непотрібні порти відкритими
- Викриття незахищеного субдомену, конфіденційних файлів, облікових даних
- Забезпечення доступності .git
- Потенційні головні вразливості OWASP, такі як XSS, SSRF, RCE
Ви можете обговорювати, що я можу вручну запустити сканер портів, знайти піддомен, перевірити вразливості тощо. Це добре, якщо ви робите це один раз чи час від часу, але це займе багато часу та буде нерентабельним, коли ви повинні робити це часто.
Так яке рішення?
Йти за Виявлення моніторингу активівякий відстежує активи вашої веб-програми та виконує регулярне сканування для вищевказаних та багатьох інших перевірок, щоб забезпечити безпеку вашого онлайн-бізнесу 🛡️.
- Detectify розміщує власну приватну спільноту етичних хакерів для краудсорсингу дослідження вразливостей, тож надсилає вам сповіщення з точки зору справжнього зловмисника.
- Інші інструменти покладаються на підписи та тестування версій, що більше схоже на відповідність, ніж на реальну безпеку. Хакери Detectify надають фактичне корисне навантаження, яке використовується для побудови тестів безпеки, забезпечуючи унікальний набір тестування, якого немає в інших продуктах на ринку.
- Результат? Більш надійний спосіб перевірки безпеки, який дає лише результати, які можна перевірити
- Знахідки безпеки, які насправді цікаво виправити!
У своїх блогвони згадують, що час розробки тесту Asset Monitoring було скорочено до 25 хвилин від хакера до випуску.
Звучить цікаво?
Давайте подивимося, як це працює.
Щоб розпочати роботу з Detectify Asset Monitoring, спершу потрібно підтвердити, що ви є власником домену, який збираєтеся контролювати, або ви маєте право виконувати перевірку безпеки. Це необхідний крок, який Detectify робить, щоб конфіденційна інформація, яку вона розкриває, не потрапила в чужі руки.
Ми можемо виконати перевірку домену кількома способами: завантаживши певний файл .txt у кореневий каталог вашого домену, за допомогою Google Analytics, за допомогою запису DNS або мета-тегу на веб-сторінці. Існує також варіант допоміжної перевірки, якщо жоден із методів самообслуговування вам не підходить.
Створення профілю сканування
Другим кроком у налаштуванні Detectify є створення профілю сканування, який можна пов’язати з будь-яким доменом, субдоменом або IP-адресою вашого сайту з запущеними на ньому службами HTTP або HTTPS.
Після налаштування профілю сканування ви можете налаштувати його за допомогою різних параметрів.
Наприклад, ви можете мати два профілі, пов’язані з одним доменом, але з різними обліковими даними. Таким чином, ви можете виконати два різні сканування на одному сервері та порівняти результати.
Щойно ваш профіль сканування буде налаштовано, ви будете готові до сканування, для чого достатньо натиснути кнопку «Почати сканування» поруч із профілем сканування, який ви бажаєте використовувати. Інформаційна панель зміниться, щоб показати, що сканування триває.
Час виконання сканування залежить від обсягу вмісту сайту. Якщо обсяг досить великий, сканування може тривати години, і ви можете помітити незначне погіршення продуктивності сайту під час сканування. Тож моя порада: виконувати сканування, коли ваш сайт менш завантажений.
Звіти про сканування
Коли Detectify завершить сканування вашого сайту, ви отримаєте про це електронний лист. У цьому електронному листі він повідомить вам про час, який знадобився для виконання сканування, кількість знайдених проблем, згрупованих за їхньою серйозністю, і загальну оцінку загроз, яка показує, наскільки хороший чи поганий сайт з точки зору безпеки.
Ви можете побачити, які URL-адреси було проскановано під час сканування, перейшовши до останнього звіту сканування та натиснувши на пункт «Проскановані URL-адреси» у списку знайдених відомостей. У розділі «Деталі» показано, до скількох URL-адрес сканер намагався отримати доступ під час сканування та скільки з них було визначено як унікальні.
Унизу сторінки є гіперпосилання для завантаження файлу CSV, який містить усі проскановані URL-адреси та код статусу кожної з них. Ви можете переглянути цей список, щоб переконатися, що всі важливі частини вашого сайту відвідано.
Щоб спланувати виправлення та отримати більш точні результати під час майбутніх сканувань, Detectify дозволяє позначати кожен результат як «Виправлений», «Прийнятий ризик» або «Помилковий результат». Якщо ви позначите знахідку тегом «Виправлено», сканер використовуватиме той самий тег у майбутніх звітах, тож вам не потрібно буде знову мати справу з нею для виправлення. «Прийнятий ризик» — це те, про що ви не хочете повідомляти під час кожного сканування, тоді як «хибний результат» — це результат, який може нагадувати вразливість, хоча це не так.
Ах! багато знахідок, про які я ніколи не думав.
Detectify пропонує багато різних сторінок і переглядів для перегляду результатів сканування. Перегляд «Усі тести» дає змогу побачити всі вразливості, виявлені скануванням. Якщо ви знайомі з класифікацією OWASP, ви можете перевірити перегляд OWASP, щоб дізнатися, наскільки ваш сайт вразливий до 10 найпоширеніших уразливостей.
Щоб точно налаштувати майбутні сканування, ви можете використовувати параметри білого/чорного списку Detectify, щоб додати ділянки сайту, які можуть бути приховані, оскільки на них не вказують посилання. Або ви можете заборонити шляхи, які ви не хочете, щоб сканер проходив.
Інвентаризація активів
Сторінка інвентаризації активів Detectify показує список кореневих активів, таких як додані домени чи IP-адреси, з великою кількістю корисної інформації, яка допоможе вам захистити ваші інвестиції в ІТ. Біля кожного активу синій або сірий значок вказує на те, увімкнено чи вимкнено для нього моніторинг активів.
Ви можете натиснути на будь-який актив в інвентарі, щоб отримати огляд. Звідти ви можете перевіряти субдомен, сканувати профілі, технології відбитків пальців, результати моніторингу активів, налаштування активів і багато іншого.
Результати моніторингу активів
Він групує результати пошуку в три категорії відповідно до їх серйозності: високий, середній і низький.
Висновки високого рівня здебільшого відображають проблеми, коли конфіденційна інформація (наприклад, облікові дані клієнтів або паролі) стає відкритою або потенційно може бути використана.
Результати середнього рівня показують ситуації, в яких він розкриває певну інформацію. Навіть незважаючи на те, що такий вплив сам по собі не може бути шкідливим, хакер може скористатися ним, поєднавши його з іншою інформацією.
Нарешті, результати низького рівня показують субдомени, які потенційно можуть бути захоплені, і які слід перевірити, щоб підтвердити їхнє право власності.
Detectify надає базу знань із багатьма виправленнями та порадами щодо виправлення, які допоможуть вам упоратися з результатами, виявленими під час сканування. Після того, як ви вживете заходів для усунення проблем, ви можете запустити друге сканування, щоб перевірити, чи проблеми були ефективно усунені. Параметри експорту дозволяють створювати файли PDF, XML або JSON зі звітами про результати, щоб надсилати їх третім сторонам або службам, таким як Trello або JIRA.
Отримайте максимум від Detectify
Посібник із найкращих практик Detectify рекомендує додати доменне ім’я без субдоменів, щоб отримати огляд усього сайту, якщо він не надто великий. Але для повного сканування існує обмеження в 9 годин, після чого сканер переходить до наступної фази процесу. З цієї причини було б гарною ідеєю розбити ваш домен на менші профілі сканування.
Ваше перше сканування може показати вам, що деякі активи мають більше вразливостей, ніж інші. Це ще одна причина – окрім тривалості сканування – почати зламувати свій домен. Ви повинні визначити найбільш критичні субдомени та створити профіль сканування для кожного з них.
Зверніть увагу на список «Виявлених хостів», оскільки він може показати вам деякі несподівані знахідки. Наприклад, системи, про які ви навіть не підозрювали. Цей список корисний для визначення найбільш важливих програм, які заслуговують на більш поглиблене сканування та, отже, індивідуальний профіль сканування.
Detectify пропонує краще визначати менші області для кожного профілю сканування, оскільки це може отримати більш точні та послідовні результати. Також доцільно розділити області, зберігаючи разом подібні технології чи фреймворки в кожному профілі. Таким чином, сканер зможе виконувати більш відповідні тести для кожного профілю сканування.
Висновок
Інвентаризація та моніторинг активів мають вирішальне значення для будь-якого розміру та веб-сайту, включаючи електронну комерцію, SaaS, роздрібну торгівлю, фінанси та ринок. Не залишайте без нагляду жодні активи; спробуйте пробний термін 2 тижні щоб побачити, як це може допомогти вам знайти лазівки для покращення безпеки веб-програм.