Nettstedangrep kan gå ubemerket i flere måneder, fordi hackere stjeler konfidensiell informasjon. De økonomiske tapene og omdømmelseskadene fra et potensielt brudd er å skape organisasjoner på for å beskytte deres webapplikasjoner. Her finner vi ut fra Ilia Kolochenko, administrerende direktør for High-Tech Bridge og Chief Architect of ImmuniWeb, hvordan du kan holde nettstedet ditt trygt i 2015.

  • Hvordan sikkerhetstrusselskapet forbereder seg for 2015

TechRadar Pro: Hvilke verktøy er organisasjoner snu til for å beskytte sine nettsteder?

Ilia Kolochenko: Når sikkerhetsbrudd fyller nyheten med historier om stjålet kundedata og nettsidefeil, går organisasjoner vanligvis til automatiserte skannere. Og denne overrelasjonen på skannere forlater organisasjoner i en sårbar stilling. Dessverre er det fortsatt en vanlig misforståelse at helautomatisert nettstedssårbarhetssøking gir de samme resultatene som manuell penetrasjonstesting av webapplikasjoner..

TRP: Hvorfor trenger vi fortsatt manuell penetrasjonstesting?

IK: Behovet for menneskelige ferdigheter ble nylig demonstrert ved en stor ny analyse (rapportert av Ars Technica) utført av universitetene i KU Leuven (Belgia) og Stony Brook (New York).

Forskerne testet nettsider "beskyttet" med ulike tillitsforseglinger fra sikkerhetsleverandører som leverer automatiserte sårbarhets- og skadelig programvare for skanning - anerkjente selskaper som Symantec, McAfee, Trust-Guard og Qualys..

Forskningen viste at «forseglingsleverandørene utfører svært dårlig når det gjelder å oppdage sårbarheter på nettstedene de sertifiserer.» Dette er en svakhet iboende i nesten alle fullautomatiserte løsninger - de kan bare gå så langt før deres produksjon må analyseres av en kvalifisert pentester (penetrasjonstester).

TRP: Fortell oss hvordan sårbarhetsskanning fungerer?

IK: Sårbarhetssøking kan være veldig billig eller til og med fri, mens penetrasjonstesting kan betraktes som ganske dyrt og tidkrevende å planlegge og utføre. Imidlertid gir penetrasjonstesting betydelig merverdi i forhold til alle typer malware- eller sårbarhetssøking for øyeblikket på websikkerhetsmarkedet.

Faktisk, i dag kan nesten alle gjøre sårbarhetsskanning: du trenger bare å laste ned noen av en rekke sårbarhetsskannere - noen ganske gode - og kjøre dem mot et nettsted. De vil generere en automatisk rapport som gir mange faktiske og potensielle sårbarheter og svakheter - og sannsynligvis også en rekke falske positiver.

Falske positiver er tidkrevende - du må verifisere hvert eneste problem som skanneren oppdager. Mye verre er falske negativer - eksisterende sårbarheter som automatiserte løsninger savner, forlater systemene sårbare og gir nettsideadministratorer en falsk følelse av sikkerhet. Enkelte automatiserte løsninger kan tildele en middels risiko for 403 eller 500 feil sider returnert av webserveren (som ikke er sårbarheter, bare feil sider).

Endelig begynner nettstedadministratorer, under belastning av store arbeidsbelastninger, å ignorere alle risikoer for middels risiko fra daglige skanningsrapporter. Som et resultat savner de viktig informasjon om virkelige sårbarheter som fortjener deres oppmerksomhet.

TRP: Hvilke selskaper skal bruke sårbarhetsskannere?

IK: Sikkerhetsskannere er sannsynligvis et must-have verktøy for store bedrifter som utfører noen av sikkerhetstesting internt, avhengig av interne sikkerhetspersonell som er i stand til å verifisere og fullføre resultatene av en automatisk skanning. Automatisert sårbarhetsskanning kan også være veldig nyttig for å holde interne lag oppdatert om den generelle tilstanden til deres webapplikasjoner.

Imidlertid kan automatiserte løsninger og sikkerhetsskannere ikke erstatte en penetrasjonstest. De er heller ikke egnet for små og mellomstore bedrifter, heller ikke for prosjekter der bedrifter trenger både hurtighet og høyeste kvalitet på sikkerhetstesting.

TRP: Hva er fordelene med manuell penetrasjonstesting?

IK: Sann pentesting starter fra hvor en sårbarhetssøking er ferdig. En pentester vil ta rapportene fra sannsynligvis flere forskjellige skanninger og bruke sine personlige ferdigheter og erfaringer til å utrydde de falske positive og identifisere savnede sårbarheter.

Spesielt er han sannsynlig å gjenkjenne svakhetene i forretningslogikken, hvilke skannere ikke effektivt kan oppdage, og se hvordan ellers mindre tekniske feil kan knyttes sammen for å forårsake et stort brudd. Et nylig eksempel på applikasjonslogikkfeil er Alibaba's nettsted, hvor en liten feil utgjorde den mest sensitive informasjonen til millioner av brukere. Et annet nylig eksempel er et lignende sårbarhet på Delta Airlines nettside, der URL-manipulering tillot tilgang til noen boardingkort.

Et annet eksempel på det viktige behovet for et dypt nivå av IT- og sikkerhetskompetanse kommer med en skannerens oppdagelse av et sikkerhetsproblem. Sårbarheten er trolig allerede kjent for sikkerhetslaget og forblir upatchet for en "god grunn" - i noen tilfeller kan en patch for sikkerhetsproblemet true trenden for en kritisk forretningsprosess. Det er hyppig tilfelle i store selskaper, hvor mange kritiske produkter utvikles internt eller outsourcet, og lider av ulike kompatibilitetsproblemer som hindrer at systemene holdes oppdatert.

I dette tilfellet vil en skanner nok bare generere generisk informasjon om en patching teknikk. En kvalifisert pentester er imidlertid i stand til å forstå kundens forretningsbehov og prosesser, og vil sannsynligvis foreslå en passende løsning som ikke vil påvirke kontinuitet i virksomheten, og hvis ikke løse sårbarheten, så hindre minst utnyttelsen (ved å legge til flere regler for webapplikasjonsbrannmur for eksempel).

TRP: Hvor nøyaktige er sårbarhetsskannere?

IK: Etter vår erfaring kan de fleste skannere trolig bare finne omtrent 40-60% av sikkerhetsproblemene i webapplikasjoner. Det er ikke noe problem med skanningsteknologien. En skanner kan trolig bli utviklet for et bestemt program, plattform eller rammeverk som kan finne 99% av sikkerhetsproblemene som er spesifikke for applikasjonen.

Men tatt i betraktning det store utvalget av webteknologier som eksisterer i dag, er det umulig å utvikle en universell skanner som effektivt oppdager sårbarheter i alle typer webprogrammer. Menneskelig kompetanse er nødvendig her.

TRP: Hva er grensene for nettpenetrasjonstester?

IK: Web penetrasjonstester har også sine grenser. For eksempel kan de ikke forhindre at en nettsideadministrator-PC blir hacket, med sikte på å stjele FTP- eller SSH-legitimasjon for å infisere nettstedet med skadelig programvare senere. Malware kan imidlertid identifiseres veldig raskt med daglig malware skanning.

Sårbarhetssøking bør brukes til kontinuerlig overvåking av sikkerhet og integritet, mens penetrasjonstesting skal brukes til å identifisere alle eksisterende sårbarheter og svakheter, og utvikle pålitelige løsninger for dem. Dette er hvor kontinuerlig daglig overvåkning kombinert med kvartalspenetrasjonstesting er den mest effektive og effektive måten å holde et nettsted sikkert.

TRP: Hvor ser du fremtiden for websikkerhetsvurdering?

IK: Som en løsning på gapet mellom automatisert og manuell sikkerhetstesting, har High-Tech Bridge lansert ImmuniWeb SaaS i år - en hybrid tilnærming til websikkerhetstesting.

ImmuniWeb kombinerer manuell og automatisert websikkerhetstest som passer for alle typer bedrifter, uansett størrelse, geografisk plassering eller interne ferdigheter. Den høye hastigheten og storskalaen av automatisert testing kombinert med menneskelig kompetanse og erfaring oppdager nøyaktig de mest komplekse sikkerhetsfeilene som savnes av skannere og andre automatiserte løsninger..

Dessuten gir ImmuniWeb-revisorer våre kunder tilpassede løsninger tilpasset deres forretnings og tekniske behov.