Quali sono alcune buone soluzioni di scansione per la sicurezza dei siti Web?

Sfortunatamente non ci sono scanner automatici per rilevare tutti i tipi di vulnerabilità nelle moderne applicazioni web (ne sento spesso meno del 50%).

Affidarsi solo a soluzioni automatizzate comporta carenze. Gli scanner automatici possono esporre le cose facili, ma è necessario l'intelligenza umana per esplorare e rivelare ulteriori vulnerabilità.

Detto questo, puoi fare riferimento a questo domanda (e risposte) per visualizzare un elenco di strumenti di valutazione delle vulnerabilità delle applicazioni Web automatizzati più diffusi.

Controlla lo Scanner per la sicurezza delle applicazioni Web Elenco da Sicurezza delle applicazioni Web Consorzio (WASC). Nota, sono uno degli autori di Watcher che è uno scanner di vulnerabilità passiva gratuito e open source su questo elenco. Questo elenco include anche le soluzioni di scansione Software as a Service.

Forse aiuta a parlare di un analogo del mondo reale.

Supponi che il tuo cliente abbia un negozio di mattoni e malta. Come si verifica se è sicuro?

Per prima cosa devi capire il modello della minaccia. È un chiosco di limonate, un minimarket o una gioielleria? Tutti richiedono livelli di sicurezza molto diversi.

Quindi devi implementare i controlli richiesti per quel tipo di proprietà. Per uno stand di limonata, è sufficiente un semplice registratore di cassa con scatola da pesca.

Infine, devi controllare periodicamente che i controlli funzionino. Le casseforti bancarie sono valutate nel tempo previsto per il crack. Non esiste una sicurezza perfetta e una sorta di monitoraggio fa quasi sempre parte della sicurezza fisica. In ambienti a bassa sicurezza questo di solito accade solo se lo staff è presente almeno periodicamente.

Allo stesso modo, non esiste una dimensione adatta a tutte le risposte nella sicurezza delle applicazioni, indipendentemente dal fornitore o dal consulente che le dirà diversamente. Forse ponendo una domanda più specifica che include dettagli come: questi siti gestiscono i pagamenti? Ci sono requisiti normativi? Se gestisci i dati della carta di credito, la risposta è probabilmente sì. Ci sono accessi? Quali dati personali identificabili vengono protetti? ecc ...

Un po 'fuori tema dalla sicurezza IT ... una' certificazione 'è una cosa molto pericolosa dal punto di vista della responsabilità. Vorrei consigliare una buona lettura della piccola stampa su qualsiasi servizio di' certificazione '- se offrono qualcosa che si alza quando è necessario (cioè se il sito web viene violato puoi rivendicare o passare la colpa) sarei molto stupito.

Ciò che è molto più semplice per un venditore da offrire è una dichiarazione di quanto sia appropriato la sicurezza in un determinato momento, quindi è quello che succede di solito.

In un'organizzazione precedente, mi aspettavo di addebitare 5-10 volte tanto se dovessi fornire qualcosa come una certificazione, poiché i miei problemi di rischio e responsabilità erano significativi.

Quanto è preziosa la certificazione per te e i tuoi clienti? Potresti accettare un rapporto che consigli sulla sicurezza del sito web rispetto ai colleghi?

Potresti voler consultare questo elenco Google . Mostra una tonnellata dei principali scanner, ma la maggior parte degli scanner automatici non riesce a testare ogni istanza di exploit. Il test umano reale è il migliore.

Esistono due tipi di scanner di sicurezza per siti Web basati sul Web di cui sono attualmente al corrente:

• Quelli che cercano i difetti di sicurezza del sito Web e dell'applicazione web
• Quelli che cercano malware ospitati sul tuo sito web

Qualys fornisce servizi per entrambi che sono abbastanza standardizzati, economici (per quello che si ottiene) e run-of-the-mill. Nessuno della loro scansione è molto avanzato e non indirizzerà il tuo sito Web o la tua applicazione web come farebbe un vero hacker. Nessuno scanner è in grado di simulare un vero hacker. Ci sono alcuni robot come Aprox che simula un attacco automatico SQL injection, ma questo è solo uno strumento nella toolchain di un avversario moderno.

Ci sono alcuni servizi gratuiti, ma mancano anche di lucentezza:

• Qualys SSL Labs (solo scansioni per problemi di sicurezza SSL / TLS)
• ZeroDayScan (esegue solo la scansione per alcuni difetti di sicurezza di siti Web e applicazioni Web)
• Unmask Parasites (solo scansioni per malware presenti sul tuo sito web)

Se l'applicazione web che stai provando a testare, valutare o verificare per le vulnerabilità delle applicazioni web ha una classificazione del rischio reale (cioè è sotto attacco, o è stata sotto attacco in passato, o c'è ragione di credere che verrà attaccato in futuro) o la classificazione dei dati (cioè servizi dati, o processi / negozi / trasmette dati di natura sensibile), allora è nel vostro interesse contattare una società di Application Security Consulting. Dovresti preferire lavorare con i partner per i quali hai una buona referenza e che hai avuto successo lavorando in passato. È anche utile stabilire partner commerciali che soddisfino il tuo specifico settore verticale o situazione. La maggior parte di quelli buoni sono piccole boutique di sicurezza con 5-15 dipendenti / appaltatori, ma se la vostra azienda è abbastanza grande, potreste voler scegliere un'azienda più grande per coordinare il lavoro con le aziende più piccole.

Se sei sotto attacco e hai bisogno di aiuto per la gestione degli incidenti, ti suggerisco boutique simili specializzate nella risposta agli incidenti e nella ricerca sul malware. È possibile trovare ulteriori informazioni su ciò che viene offerto da analisti del settore come Gartner, Forrester Research, ecc., Ma ci sono anche boutique di sicurezza più piccole specializzate nell'analisi del settore che vale sicuramente la pena di verificare.

Ho appena trovato questo post del blog che fornisce un confronto molto dettagliato di scanner per applicazioni Web sia commerciali che open-source.