Spread the love

Как вы гарантируете, что ваше приложение и инфраструктура защищены от уязвимостей?

Detectify предлагает полный набор решений для инвентаризации и мониторинга активов, включая сканирование уязвимостей, обнаружение хостов и снятие отпечатков программного обеспечения. Его использование может помочь избежать неприятных сюрпризов, таких как неизвестные хосты с уязвимостями или поддомены, которые можно легко взломать.

Многое может пойти не так, и злоумышленник может этим воспользоваться. Вот некоторые из них:

  • Держите ненужные порты открытыми
  • Разоблачение небезопасного поддомена, конфиденциальных файлов, учетных данных
  • Обеспечение доступности .git
  • Потенциальные основные уязвимости OWASP, такие как XSS, SSRF, RCE

Вы можете поспорить, что я могу вручную запустить сканер портов, найти поддомен, проверить на уязвимости и т. д. Это хорошо, если вы делаете это время от времени, но это будет трудоемким и нерентабельным, когда вы должны делать это часто.

Итак, каково решение?

Перейти на Обнаружение мониторинга активовкоторый отслеживает активы вашего веб-приложения и выполняет регулярное сканирование для вышеупомянутых и многих других проверок, чтобы обеспечить безопасность вашего онлайн-бизнеса 🛡️.

  • Detectify размещает свое собственное частное сообщество этичных хакеров для краудсорсингового исследования уязвимостей, поэтому оно дает вам предупреждения с точки зрения реального злоумышленника.
  • Другие инструменты полагаются на сигнатуры и тестирование версий, что больше похоже на соответствие, чем на реальную безопасность. Хакеры Detectify предоставляют фактические полезные нагрузки, которые используются для создания тестов безопасности, предоставляя уникальный набор тестов, которых нет в других продуктах на рынке.
  • Результат? Более надежный способ тестирования безопасности, который дает только те результаты, которые можно проверить.
  • Выводы безопасности, которые на самом деле интересно исправить!

В их блогони упоминают, что время разработки теста Asset Monitoring было сокращено до 25 минут от хакера до выпуска.

Звучит интересно?

Давайте посмотрим, как это работает.

Чтобы начать работу с Detectify Asset Monitoring, первым делом необходимо подтвердить, что вы являетесь владельцем домена, за которым собираетесь следить, или что вы уполномочены выполнять сканирование безопасности. Это необходимый шаг, который делает Detectify, чтобы конфиденциальная информация, которую она раскрывает, не попала в чужие руки.

Мы можем выполнить проверку домена несколькими способами: загрузив определенный файл .txt в корневой каталог вашего домена, с помощью Google Analytics, через запись DNS или с помощью метатега на веб-странице. Существует также вариант вспомогательной проверки, если ни один из методов самообслуживания не работает для вас.

Создание профиля сканирования

Вторым шагом в настройке Detectify является создание профиля сканирования, который может быть связан с любым доменом, поддоменом или IP-адресом вашего сайта с работающими на нем службами HTTP или HTTPS.

После настройки профиля сканирования вы можете настроить его с различными параметрами.

Например, у вас может быть два профиля, связанных с одним и тем же доменом, но с разными учетными данными. Таким образом, вы можете выполнить два разных сканирования на одном сервере и сравнить результаты.

Как только ваш профиль сканирования настроен, вы будете готовы к сканированию, для чего достаточно нажать кнопку «Начать сканирование» рядом с профилем сканирования, который вы хотите использовать. Приборная панель изменится, чтобы показать, что сканирование выполняется.

Время выполнения сканирования зависит от объема содержимого сайта. Если объем достаточно большой, сканирование может занять несколько часов, и вы можете заметить небольшое снижение производительности сайта во время сканирования. Поэтому мой совет — выполнять сканирование, когда ваш сайт менее загружен.

Отчеты о сканировании

Когда Detectify завершит сканирование вашего сайта, вы получите сообщение по электронной почте. В этом электронном письме он сообщит вам о времени, которое потребовалось для выполнения сканирования, количестве найденных проблем, сгруппированных по степени их серьезности, и общей оценке угроз, которая показывает, насколько сайт хорош или плох с точки зрения безопасности.

Вы можете увидеть, какие URL-адреса были просканированы во время сканирования, перейдя к последнему отчету о сканировании и щелкнув элемент «URL-адреса, просканированные» в списке обнаруженной информации. В разделе «Подробности» показано, к скольким URL-адресам поисковый робот пытался получить доступ во время сканирования и сколько из них были идентифицированы как уникальные.

В нижней части страницы есть гиперссылка для загрузки CSV-файла, содержащего все просканированные URL-адреса и код состояния каждого из них. Вы можете просмотреть этот список, чтобы убедиться, что все важные части вашего сайта были посещены.

Чтобы спланировать исправление и получить более точные результаты в будущих сканированиях, Detectify позволяет пометить каждый результат как «Исправлено», «Принятый риск» или «Ложноположительный результат». Если вы пометите обнаружение как «Исправлено», сканер будет использовать этот же тег в будущих отчетах, поэтому вам не нужно будет снова обращаться к нему для исправления. «Принятый риск» — это то, о чем вам не следует сообщать при каждом сканировании, а «Ложное срабатывание» — это обнаружение, которое может напоминать уязвимость, хотя на самом деле таковым не является.

Ах! много находок, чтобы исправить которые я никогда не думал.

Detectify предлагает множество различных страниц и представлений для просмотра результатов сканирования. Представление «Все тесты» позволяет увидеть все уязвимости, обнаруженные при сканировании. Если вы знакомы с классификацией OWASP, вы можете просмотреть представление OWASP, чтобы узнать, насколько ваш сайт уязвим перед 10 основными уязвимостями.

Для точной настройки будущих сканирований вы можете использовать параметры белого/черного списка Detectify, чтобы добавить области вашего сайта, которые могут быть скрыты, поскольку на них не указывают ссылки. Или вы можете запретить пути, по которым вы не хотите, чтобы сканер попадал.

Инвентаризация активов

На странице инвентаризации активов Detectify показан список корневых активов, таких как добавленные домены или IP-адреса, с большим количеством полезной информации, которая поможет вам защитить ваши инвестиции в ИТ. Рядом с каждым активом синий или серый значок указывает, включен или выключен для него мониторинг активов.

Вы можете щелкнуть любой из активов в инвентаре, чтобы получить его обзор. Оттуда вы можете изучить поддомен, профили сканирования, технологии с отпечатками пальцев, результаты мониторинга активов, настройки активов и многое другое.

Результаты мониторинга активов

Он группирует результаты поиска по трем категориям в зависимости от их серьезности: высокая, средняя и низкая.

Выводы высокого уровня в основном отражают проблемы, когда конфиденциальная информация (например, учетные данные или пароли клиентов) становится общедоступной или потенциально может быть использована.

Выводы среднего уровня показывают ситуации, в которых он раскрывает некоторую информацию. Даже если это воздействие само по себе может быть неопасным, хакер может воспользоваться им, объединив его с другой информацией.

Наконец, результаты низкого уровня показывают поддомены, которые потенциально могут быть захвачены, и их следует проверить, чтобы подтвердить их право собственности.

Detectify предоставляет базу знаний с множеством исправлений и советов по исправлению, которые помогут вам справиться с выводами, обнаруженными во время сканирования. После того, как вы примете меры по устранению проблем, вы можете запустить второе сканирование, чтобы проверить, были ли проблемы устранены эффективно. Параметры экспорта позволяют создавать файлы PDF, XML или JSON с отчетами о результатах, чтобы отправлять их третьим сторонам или службам, таким как Trello или JIRA.

Получите максимум от Detectify

Руководство Detectify рекомендует добавлять доменное имя без субдоменов, чтобы получить обзор всего вашего сайта, если он не слишком велик. Но существует ограничение по времени в 9 часов на полное сканирование, после чего сканер переходит к следующему этапу процесса. По этой причине было бы неплохо разбить ваш домен на более мелкие профили сканирования.

Ваше первое сканирование может показать вам, что некоторые активы имеют больше уязвимостей, чем другие. Это еще одна причина — помимо продолжительности сканирования — начать ломать ваш домен. Вы должны определить наиболее важные поддомены и создать профиль сканирования для каждого из них.

Обратите внимание на список «Обнаруженные хосты», так как он может показать вам некоторые неожиданные результаты. Например, системы, о которых вы не знали. Этот список полезен для определения наиболее важных приложений, которые заслуживают более тщательного сканирования и, следовательно, отдельного профиля сканирования.

Detectify предлагает определить меньшие области для каждого профиля сканирования, так как это может обеспечить более точные и согласованные результаты. Также рекомендуется разделить области действия, объединив схожие технологии или платформы в каждом профиле. Таким образом, сканер сможет выполнять более релевантные тесты для каждого профиля сканирования.

Вывод

Инвентаризация и мониторинг активов имеют решающее значение для любого размера и веб-сайта, включая электронную коммерцию, SaaS, розничную торговлю, финансы и рынок. Не оставляйте активы без присмотра; попробуй пробный период 2 недели чтобы увидеть, как это может помочь вам найти лазейки для повышения безопасности веб-приложений.

x