Отрасль электронной торговли в последнее время значительно улучшилась благодаря достижениям в области информационных технологий, которые позволяют гораздо большему количеству людей взаимодействовать и совершать сделки в сети Интернет.
В настоящее время огромное количество предприятий делают упор на свои веб-сайты как на основной источник получения дохода. Следовательно, приоритетным направлением является обеспечение безопасности подобных веб-платформ.
В переведенной нами статье Idris Lawal рассмотрел одни из лучших облачных инструментов сканирования уязвимостей и тестирования на проникновение (VAPT — Vulnerability Assessment and Penetration Testing), а также способы их использования применительно к стартапам и деятельности малых и средних предприятий. Дальнейшее повествование будет от имени автора.
Во-первых, владельцу Интернет-бизнеса или человеку, занимающемуся электронной коммерцией, необходимо понять сходства и различия между оценкой уязвимости (VA) и тестированием на проникновение (PT), чтобы принять обоснованное решение о том, что же лучше. Несмотря на то, что инструменты оценки уязвимости и тестирования на проникновение являются взаимодополняющими, существуют некоторые различия в их назначении.
Различия между инструментами оценки уязвимости (VA) и тестирования на проникновение (PT)
При проведении оценки уязвимости (VA) тестер стремится к тому, чтобы все обнаруженные уязвимости в приложении, на сайте или в сети были определены, идентифицированы, классифицированы и расставлены по приоритетам. Таким образом, задача подобных инструментов сканирования, о которых мы поговорим в данной статье, заключается в предоставлении списка уязвимых мест. Выполнение подобных тестов очень важно, поскольку они дают возможность владельцам бизнеса увидеть слабые места и подсказать, на что следует обратить первоочередное внимание. Также с помощью подобных тестов можно получить информацию о настройке брандмауэров, таких как WAF (Web Application Firewalls — брандмауэры для веб-приложений).
С другой стороны инструменты для тестирования на проникновение (PT) непосредственно ориентированы на достижение определенных целей. Задача подобных инструментов заключается не только в определении уязвимых мест в защите приложений, но и в их проверке путем моделирования реальных кибератак. Некоторые инструменты, о которых пойдет речь в данной статье, могут делать это автоматически, а в некоторых – можно моделировать атаки вручную. Подобные проверки особенно важны для понимания уровня риска, который может нести та или иная уязвимость, и подсказать, каким образом можно обезопасить свой бизнес.
Таким образом, мы можем сделать вывод о том, что оценка уязвимости вносит значительный вклад в тестирование на проникновение. Следовательно, необходимо иметь возможность использовать инструменты, которые помогут достичь и того, и другого.
Рассмотрим некоторые инструменты подробнее.
1. Astra
Astra — это полнофункциональный облачный VAPT-инструмент с особым акцентом на электронную коммерцию; он поддерживает WordPress, Joomla, OpenCart, Drupal, Magento, PrestaShop. Он поставляется с набором приложений, вредоносных программ и сетевых тестов для оценки безопасности вашего веб-приложения.
Этот инструмент поставляется с интуитивно понятной приборной панелью, которая показывает графический анализ угроз с учетом конкретной временной шкалы.
Рассмотрим некоторые особенности данного инструмента.
- Статический и динамический анализ кода
Статический и динамический анализ кода проверяет приложение до запуска и во время работы, чтобы определить момент появления угрозы оперативно ее устранить.
- Определение вредоносного программного обеспечения
Инструмент Astra выполняет автоматическую проверку наличия вредоносного ПО и удаляет его. Точно так же проверяются различия в файлах, которые могли быть изменены внутренней программой или внешним злоумышленником. В данном разделе пользователь может получить актуальную и полезную информацию о возможном вредоносном ПО на сайте.
- Обнаружение угроз
Astra выполняет автоматическое обнаружение угроз и ведение журналов, что дает представление о том, какие части приложения наиболее уязвимы к атакам, исходя из предыдущих попыток атаки.
- Тестирование платежного шлюза и IT-инфраструктуры
Инструмент Astra проводит тестирование платежных шлюзов приложений с платежной интеграцией и проверку IT-инфраструктуры для обеспечения безопасности приложения.
- Тестирование сети
Astra поставляется с тестом на проникновение в сеть маршрутизаторов, коммутаторов, принтеров и других сетевых узлов, которые могут подвергнуть ваш бизнес рискам внутренней безопасности.
В основе тестирования Astra лежат основные стандарты безопасности, включая OWASP, PCI, SANS, CERT, ISO27001.
2. Netsparker
Netsparker Team — это готовое решение для среднего и крупного бизнеса, обладающее рядом определенных функций. Оно может похвастаться надежной функцией сканирования, которая зарегистрирована в качестве торговой марки как технология Proof-Based-Scanning™ с полной автоматизацией и интеграцией.
Netsparker имеет большое количество интеграций с существующими инструментами. Он легко интегрируется в такие инструменты отслеживания угроз, как Jira, Clubhouse, Bugzilla, AzureDevops и др. Он также имеет интеграцию с системами управления проектами, такими как Trello. Аналогично, с системами CI (непрерывная интеграция), такими как Jenkins, Gitlab CI/CD, Circle CI, Azure и др. Это дает Netsparker возможность быть интегрированным в SDLC (жизненный цикл разработки программного обеспечения); таким образом, появляется возможность проверки на уязвимости перед развертыванием функций в вашем бизнес-приложении.
Информационная панель дает представление о том, какие угрозы безопасности существуют в приложении, степень их серьезности, а также о том, какие из них были исправлены. Она также предоставляет информацию об уязвимостях, полученную в результате сканирования, и о возможных лазейках в системе безопасности.
3. Tenable
Tenable.io — это готовый к использованию на предприятии инструмент для сканирования веб-приложений, который дает вам важную информацию о перспективах их безопасности.
Данный инструмент очень легко настраивается. Он фокусируется не на одном запущенном приложении, а на всех веб-приложениях, которые у вас развернуты.
Сканирование уязвимостей в Tenable.io основано на широко распространенном инструменте анализа OWASP Top Ten Vulnerabilities (Топ-10 уязвимостей). Это позволяет любому специалисту по безопасности легко инициировать проверку веб-приложений и оценить ее результаты. Вы можете запланировать автоматическое сканирование, чтобы не обременять себя задачей периодического ручного сканирования приложений.
4. Pentest-Tools
Сканер Pentest-tools дает вам полную информацию об уязвимостях веб-сайта.
Инструмент включает в себя возможность фингерпринтинга (сбора информации об удаленном устройстве для дальнейшей его идентификации), внедрения SQL-кода, межсайтового скриптинга (Cross-Site Scripting), удаленного выполнения команд, локального/удаленного открытия файлов и др. Также доступно бесплатное сканирование, но с ограниченными возможностями.
Отчеты инструмента показывают подробную информацию о вашем сайте и различных уязвимостях (если таковые имеются), а также степень их серьезности.
Пользователи с PRO-аккаунтом могут самостоятельно выбирать режим сканирования.
Панель инструментов интуитивно понятна и дает полное представление обо всех проведенных сканированиях и уровне безопасности.
Сканирование на наличие угроз также может быть запланировано. Кроме того, инструмент имеет функцию создания отчетов, которая позволяет генерировать отчеты об уязвимостях по результатам проведенных сканирований.
5. Google SCC
Security Command Center (SCC) — это инструмент мониторинга безопасности для Google Cloud.
Он предоставляет пользователям Google Cloud возможность настроить мониторинг безопасности своих существующих проектов без дополнительных инструментов.
SCC содержит множество встроенных инструментов обеспечения безопасности, включая:
- Cloud Anomaly Detection (Облачное обнаружение аномалий) — для обнаружения поврежденных пакетов данных, сформированных в результате DDoS-атак.
- Cloud Security Scanner (Облачный сканер безопасности) — для обнаружения таких уязвимостей, как межсайтовый скриптинг (XSS), использование паролей из чистого текста и устаревшие библиотеки в вашем приложении.
- Cloud DLP Data Discovery (Система защиты от утечек данных) — показывает список сегментов памяти, которые содержат конфиденциальные и/или регулируемые данные.
- Forseti Cloud SCC Connector (Облачный центр управления безопасностью) — позволяет разработать свои собственные сканеры и детекторы.
Инструмент также включает в себя партнерские решения, такие как CloudGuard, Chef Automate, Qualys Cloud Security, Reblaze, которые могут быть интегрированы в Cloud SCC.
Заключение
Обеспечение безопасности веб-сайтов является сложной задачей, но благодаря инструментам, которые позволяют легко понять, какие места являются уязвимыми, можно уменьшить риски, связанные с ведением бизнеса в Интернете. Попробуйте описанные в этой статье инструменты для защиты своего онлайн-бизнеса.
