Βελτιώστε την ασφάλεια εφαρμογών Ιστού με το Detectify Asset Monitoring

από
Tweet
Share
Share
Pin

Πώς διασφαλίζετε ότι η εφαρμογή και η υποδομή σας είναι ασφαλή από τρωτά σημεία ασφαλείας;

Το Detectify προσφέρει μια πλήρη σειρά λύσεων απογραφής περιουσιακών στοιχείων και παρακολούθησης που περιλαμβάνουν σάρωση ευπάθειας, ανακάλυψη κεντρικού υπολογιστή και λήψη δακτυλικών αποτυπωμάτων λογισμικού. Η χρήση του θα μπορούσε να βοηθήσει στην αποφυγή δυσάρεστων εκπλήξεων, όπως άγνωστους κεντρικούς υπολογιστές που παρουσιάζουν τρωτά σημεία ή υποτομείς που μπορούν εύκολα να παραβιαστούν.

Πολλά πράγματα μπορεί να πάνε στραβά και ένας επιθετικός μπορεί να το εκμεταλλευτεί. Μερικά κοινά είναι:

  • Διατηρώντας ανοιχτές τις περιττές θύρες
  • Αποκάλυψη μη ασφαλούς υποτομέα, ευαίσθητων αρχείων, διαπιστευτηρίων
  • Διατηρώντας το .git προσβάσιμο
  • Πιθανά κορυφαία τρωτά σημεία του OWASP όπως XSS, SSRF, RCE

Μπορείτε να συζητήσετε ότι μπορώ να εκτελέσω χειροκίνητα τον σαρωτή θύρας, να βρω υποτομέα, να ελέγξω για τρωτά σημεία, κ.λπ. Αυτό είναι καλό αν το κάνετε μια ή μια στο τόσο, αλλά θα είναι χρονοβόρο και όχι οικονομικά αποδοτικό όταν πρέπει να το κάνεις συχνά.

Ποια είναι λοιπόν η λύση;

Πάω να φέρω Εντοπισμός παρακολούθησης περιουσιακών στοιχείωντο οποίο παρακολουθεί τα στοιχεία της διαδικτυακής εφαρμογής σας και εκτελεί μια τακτική σάρωση για πάνω από όλα συζητηθέντες και πολλούς άλλους ελέγχους για να διατηρήσει την επιχείρησή σας στο διαδίκτυο ασφαλή 🛡️.

  • Το Detectify φιλοξενεί τη δική του ιδιωτική κοινότητα ηθικών χάκερ για την έρευνα ευπάθειας στο crowdsource, ώστε να σας παρέχει ειδοποιήσεις από την οπτική γωνία ενός πραγματικού εισβολέα.
  • Άλλα εργαλεία βασίζονται σε υπογραφές και δοκιμή έκδοσης που μοιάζει περισσότερο με τη συμμόρφωση παρά με την πραγματική ασφάλεια. Οι χάκερ Detectify παρέχουν τα πραγματικά ωφέλιμα φορτία που χρησιμοποιούνται για τη δημιουργία των δοκιμών ασφαλείας, δίνοντας ένα μοναδικό σύνολο δοκιμών που δεν εμφανίζεται σε άλλα προϊόντα στην αγορά.
  • Το αποτέλεσμα? Ένας πιο σίγουρος τρόπος δοκιμών ασφαλείας που σας δίνει μόνο αποτελέσματα που μπορούν να επαληθευτούν
  • Ευρήματα ασφαλείας που είναι πραγματικά ενδιαφέρον να διορθωθούν!

Στο δικό τους blogαναφέρουν ότι ο χρόνος ανάπτυξης της δοκιμής Asset Monitoring έχει μειωθεί σε μόλις 25 λεπτά από τον χάκερ έως την απελευθέρωση.

Ακούγεται ενδιαφέρον?

Ας δούμε πώς λειτουργεί.

Για να ξεκινήσετε να εργάζεστε με το Detectify Asset Monitoring, το πρώτο βήμα είναι να επαληθεύσετε ότι είστε κάτοχος του τομέα που πρόκειται να παρακολουθήσετε ή ότι είστε εξουσιοδοτημένος να πραγματοποιήσετε σάρωση ασφαλείας. Αυτό είναι ένα απαραίτητο βήμα που κάνει το Detectify για να διασφαλίσει ότι οι ευαίσθητες πληροφορίες που αποκαλύπτει δεν θα καταλήξουν σε λάθος χέρια.

Μπορούμε να κάνουμε επαλήθευση τομέα με διάφορους τρόπους: ανεβάζοντας ένα συγκεκριμένο αρχείο .txt στον ριζικό κατάλογο του τομέα σας, με το Google Analytics, μέσω μιας εγγραφής DNS ή με μια μετα-ετικέτα σε μια ιστοσελίδα. Υπάρχει επίσης μια επιλογή υποβοηθούμενης επαλήθευσης εάν καμία από τις μεθόδους αυτοεξυπηρέτησης δεν λειτουργεί για εσάς.

  10 καλύτερες λύσεις βάσεων δεδομένων γραφήματος για να δοκιμάσετε

Δημιουργία προφίλ σάρωσης

Το δεύτερο βήμα για τη ρύθμιση του Detectify είναι να δημιουργήσετε ένα προφίλ σάρωσης, το οποίο μπορεί να συσχετιστεί με οποιονδήποτε τομέα, υποτομέα ή διεύθυνση IP από τον ιστότοπό σας με υπηρεσίες HTTP ή HTTPS που εκτελούνται σε αυτό.

Αφού ρυθμίσετε ένα προφίλ σάρωσης, μπορείτε να το διαμορφώσετε με διαφορετικές επιλογές.

Για παράδειγμα, μπορείτε να έχετε δύο προφίλ που σχετίζονται με τον ίδιο τομέα αλλά με διαφορετικά διαπιστευτήρια. Με αυτόν τον τρόπο, μπορείτε να εκτελέσετε δύο διαφορετικές σαρώσεις στον ίδιο διακομιστή και να συγκρίνετε τα αποτελέσματα.

Μόλις διαμορφωθεί το προφίλ σάρωσης, θα είστε έτοιμοι για σάρωση, κάτι που κάνετε απλώς πατώντας το κουμπί Έναρξη σάρωσης δίπλα στο προφίλ σάρωσης που θέλετε να χρησιμοποιήσετε. Ο πίνακας εργαλείων θα αλλάξει για να δείξει ότι μια σάρωση βρίσκεται σε εξέλιξη.

Ο χρόνος για την εκτέλεση της σάρωσης εξαρτάται από τον όγκο των περιεχομένων του ιστότοπου. Εάν ο όγκος είναι αρκετά μεγάλος, η σάρωση μπορεί να διαρκέσει ώρες και μπορεί να παρατηρήσετε μια ελαφρά υποβάθμιση της απόδοσης του ιστότοπου ενώ η σάρωση βρίσκεται σε εξέλιξη. Επομένως, η συμβουλή μου είναι να κάνετε σαρώσεις όταν ο ιστότοπός σας είναι λιγότερο απασχολημένος.

Σάρωση αναφορών

Όταν το Detectify ολοκληρώσει τη σάρωση του ιστότοπού σας, θα λάβετε ένα e-mail που θα σας το ενημερώνει. Σε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου, θα σας ενημερώσει για το χρόνο που χρειάστηκε για την εκτέλεση της σάρωσης, τον αριθμό των προβλημάτων που εντοπίστηκαν ομαδοποιημένα με βάση τη σοβαρότητά τους και μια συνολική βαθμολογία απειλής που δείχνει πόσο καλός ή κακός είναι ο ιστότοπος από άποψη ασφάλειας.

Μπορείτε να δείτε ποιες διευθύνσεις URL ανιχνεύτηκαν κατά τη σάρωση μεταβαίνοντας στην πιο πρόσφατη αναφορά σάρωσης και κάνοντας κλικ στο στοιχείο “Ανίχνευση URL” στη λίστα ευρημάτων πληροφοριών. Η ενότητα Λεπτομέρειες δείχνει σε πόσες διευθύνσεις URL προσπάθησε να αποκτήσει ο ανιχνευτής κατά τη σάρωση και πόσες από αυτές αναγνωρίστηκαν ως μοναδικές.

Υπάρχει ένας υπερσύνδεσμος στο κάτω μέρος της σελίδας για τη λήψη ενός αρχείου CSV που περιέχει όλες τις ανιχνευμένες διευθύνσεις URL και τον κωδικό κατάστασης καθεμιάς. Μπορείτε να περάσετε από αυτήν τη λίστα για να βεβαιωθείτε ότι έχετε επισκεφτεί όλα τα σημαντικά μέρη του ιστότοπού σας.

  Τα καλύτερα ανέκδοτα, παιχνίδια και πασχαλινά αυγά για το Google Assistant

Για να προγραμματίσετε την αποκατάσταση και να λάβετε πιο ακριβή αποτελέσματα σε μελλοντικές σαρώσεις, το Detectify σάς επιτρέπει να επισημάνετε κάθε εύρημα ως “Διορθώθηκε”, “Αποδεκτός κίνδυνος” ή “Ψευδώς θετικό”. Εάν προσθέσετε ετικέτα σε ένα εύρημα ως “Διορθώθηκε”, ο σαρωτής θα χρησιμοποιήσει την ίδια ετικέτα σε μελλοντικές αναφορές, επομένως δεν θα χρειαστεί να το αντιμετωπίσετε ξανά για αποκατάσταση. Ο “Αποδεκτός κίνδυνος” είναι κάτι που δεν θέλετε να αναφέρεται σε κάθε σάρωση, ενώ το “Λάθος θετικό” είναι ένα εύρημα που μπορεί να μοιάζει με ευπάθεια, αν και δεν είναι.

Αχ! πολλά ευρήματα να διορθώσω τα οποία δεν σκέφτηκα ποτέ.

Το Detectify προσφέρει πολλές διαφορετικές σελίδες και προβολές για να δείτε τα αποτελέσματα σάρωσης. Η προβολή “Όλες οι δοκιμές” σάς επιτρέπει να δείτε όλα τα τρωτά σημεία που ανακάλυψε η σάρωση. Εάν είστε εξοικειωμένοι με την ταξινόμηση OWASP, μπορείτε να δείτε την προβολή OWASP για να δείτε πόσο ευάλωτος είναι ο ιστότοπός σας στα 10 κορυφαία τρωτά σημεία.

Για να βελτιώσετε τις μελλοντικές σαρώσεις, μπορείτε να χρησιμοποιήσετε τις επιλογές λευκής/μαύρης λίστας του Detectify για να προσθέσετε περιοχές του ιστότοπού σας που θα μπορούσαν να είναι κρυφές, επειδή δεν υπάρχουν σύνδεσμοι που να οδηγούν σε αυτές. Ή μπορείτε να μην επιτρέψετε διαδρομές στις οποίες δεν θέλετε να μπει ο ανιχνευτής.

Η απογραφή περιουσιακών στοιχείων

Η σελίδα αποθέματος περιουσιακών στοιχείων του Detectify εμφανίζει μια λίστα με βασικά στοιχεία – όπως προστιθέμενους τομείς ή διευθύνσεις IP – με πολλές χρήσιμες πληροφορίες που θα σας βοηθήσουν να εξασφαλίσετε τις επενδύσεις σας στον τομέα της πληροφορικής. Δίπλα σε κάθε στοιχείο, ένα μπλε ή γκρι εικονίδιο υποδεικνύει εάν η Παρακολούθηση στοιχείων είναι ενεργοποιημένη ή απενεργοποιημένη για αυτό.

Μπορείτε να κάνετε κλικ σε οποιοδήποτε από τα στοιχεία του αποθέματος για να λάβετε μια επισκόπηση του. Από εκεί, μπορείτε να εξετάσετε υποτομείς, προφίλ σάρωσης, τεχνολογίες δακτυλικών αποτυπωμάτων, ευρήματα παρακολούθησης στοιχείων, ρυθμίσεις στοιχείων και πολλά άλλα.

Ευρήματα παρακολούθησης περιουσιακών στοιχείων

Ομαδοποιεί τα αποτελέσματα σε τρεις κατηγορίες ανάλογα με τη σοβαρότητά τους: υψηλή, μεσαία και χαμηλή.

Τα ευρήματα υψηλού επιπέδου αντικατοπτρίζουν κυρίως ζητήματα όπου ευαίσθητες πληροφορίες (π.χ. διαπιστευτήρια πελατών ή κωδικοί πρόσβασης) εκτίθενται στο κοινό ή είναι δυνητικά εκμεταλλεύσιμες.

Τα ευρήματα μεσαίου επιπέδου δείχνουν καταστάσεις στις οποίες εκθέτει ορισμένες πληροφορίες. Παρόλο που αυτή η έκθεση μπορεί να μην είναι επιβλαβής από μόνη της, ένας χάκερ θα μπορούσε να την εκμεταλλευτεί συνδυάζοντάς την με άλλες πληροφορίες.

  8 Συμβουλές για εξοικονόμηση μπαταρίας στο iPhone σας

Τέλος, τα ευρήματα χαμηλού επιπέδου δείχνουν υποτομείς που θα μπορούσαν ενδεχομένως να εξαγοραστούν και θα πρέπει να ελεγχθούν για να επαληθευτεί η ιδιοκτησία τους.

Το Detectify παρέχει μια βάση γνώσεων με πολλές επιδιορθώσεις και συμβουλές αποκατάστασης που θα σας βοηθήσουν να αντιμετωπίσετε τα ευρήματα που προέκυψαν κατά τη σάρωση. Μόλις προβείτε σε ενέργειες για την επίλυση των προβλημάτων, μπορείτε να εκτελέσετε μια δεύτερη σάρωση για να ελέγξετε εάν τα προβλήματα έχουν αποκατασταθεί αποτελεσματικά. Οι επιλογές εξαγωγής σάς επιτρέπουν να δημιουργείτε αρχεία PDF, XML ή JSON με αναφορές ευρημάτων για να τα στέλνετε σε τρίτα μέρη ή υπηρεσίες όπως το Trello ή το JIRA.

Αξιοποιήστε στο έπακρο το Detectify

Ο οδηγός βέλτιστων πρακτικών του Detectify συνιστά την προσθήκη ενός ονόματος τομέα χωρίς υποτομείς για να έχετε μια επισκόπηση ολόκληρου του ιστότοπού σας, εάν δεν είναι πολύ μεγάλος. Ωστόσο, υπάρχει ένα χρονικό όριο 9 ωρών για μια ολόκληρη σάρωση, μετά την οποία ο σαρωτής μεταβαίνει στην επόμενη φάση της διαδικασίας. Για αυτόν τον λόγο, θα μπορούσε να είναι καλή ιδέα να χωρίσετε τον τομέα σας σε μικρότερα προφίλ σάρωσης.

Η πρώτη σάρωση μπορεί να σας δείξει ότι ορισμένα στοιχεία έχουν περισσότερες ευπάθειες από άλλα. Αυτός είναι ένας άλλος λόγος – εκτός από τη διάρκεια σάρωσης – για να αρχίσετε να καταστρέφετε τον τομέα σας. Θα πρέπει να προσδιορίσετε τους πιο κρίσιμους υποτομείς και να δημιουργήσετε ένα προφίλ σάρωσης για κάθε έναν από αυτούς.

Δώστε προσοχή στη λίστα “Discovered Hosts”, καθώς μπορεί να σας δείξει κάποια απροσδόκητα ευρήματα. Για παράδειγμα, συστήματα που δεν γνωρίζατε ότι είχατε. Αυτή η λίστα είναι χρήσιμη για τον εντοπισμό των πιο κρίσιμων εφαρμογών που αξίζουν μια πιο εις βάθος σάρωση και, επομένως, ένα μεμονωμένο προφίλ σάρωσης.

Το Detectify προτείνει ότι είναι καλύτερο να ορίσετε μικρότερα πεδία για κάθε προφίλ σάρωσης, επειδή μπορείτε να λάβετε πιο ακριβή και συνεπή ευρήματα. Είναι επίσης καλή ιδέα να αναλύσετε τα πεδία διατηρώντας μαζί παρόμοιες τεχνολογίες ή πλαίσια σε κάθε προφίλ. Με αυτόν τον τρόπο, ο σαρωτής θα μπορεί να εκτελεί πιο σχετικές δοκιμές για κάθε προφίλ σάρωσης.

συμπέρασμα

Το απόθεμα και η παρακολούθηση περιουσιακών στοιχείων είναι ζωτικής σημασίας για οποιοδήποτε μέγεθος και ιστότοπο, συμπεριλαμβανομένου του ηλεκτρονικού εμπορίου, του SaaS, του λιανικού εμπορίου, των χρηματοοικονομικών και της αγοράς. Μην κρατάτε κανένα περιουσιακό στοιχείο χωρίς επίβλεψη. δοκιμάστε το δοκιμή για 2 εβδομάδες για να δείτε πώς μπορεί να σας βοηθήσει να βρείτε κενά για τη βελτίωση της ασφάλειας των εφαρμογών Ιστού.