U današnje vreme, svet e-trgovine se značajno razvio zahvaljujući napretku internet tehnologija. Ove tehnologije omogućavaju sve većem broju ljudi da se poveže na internet i obavlja različite transakcije.
Sve više preduzeća danas koristi svoje web stranice kao primarni izvor prihoda. Iz tog razloga, sigurnost tih web platformi mora biti glavni prioritet. U ovom članku ćemo razmotriti neke od najboljih alata za VAPT (procenu ranjivosti i testiranje penetracije) koji su trenutno dostupni i kako ih mogu koristiti startupi, mala i srednja preduzeća.
Pre svega, vlasnik web preduzeća ili e-trgovine mora razumeti razlike i sličnosti između procene ranjivosti (VA) i testiranja penetracije (PT). To razumevanje će mu pomoći pri donošenju odluka o tome šta je najbolje za njegovo poslovanje. Iako i VA i PT pružaju komplementarne usluge, postoje suptilne razlike u njihovim ciljevima.
Razlika između VA i PT
Prilikom procene ranjivosti (VA), tester nastoji da osigura da sve otvorene ranjivosti u aplikaciji, web sajtu ili mreži budu definisane, identifikovane, klasifikovane i prioritetizovane. Procena ranjivosti se može opisati kao vežba orijentisana na pregled. To se može postići korišćenjem alata za skeniranje, o kojima ćemo govoriti kasnije u ovom članku. Ovakva vežba je neophodna jer preduzećima pruža ključan uvid u to gde postoje slabosti i šta treba popraviti. Takođe, ova vežba pruža informacije potrebne za konfigurisanje zaštitnih zidova, kao što su WAF (zaštitni zidovi za web aplikacije).
S druge strane, testiranje penetracije (PT) je mnogo direktnije i usmereno je ka konkretnom cilju. Cilj nije samo ispitati odbranu aplikacije već i iskoristiti otkrivene ranjivosti. Svrha toga je simuliranje sajber napada u stvarnom životu na aplikaciju ili web stranicu. Neki aspekti ovoga se mogu obaviti pomoću automatizovanih alata; neke ćemo navesti u ovom članku, a neki se mogu obaviti i ručno. Ovo je posebno važno kako bi preduzeća razumela nivo rizika koji predstavlja ranjivost i kako najbolje da je zaštite od zlonamerne eksploatacije.
Dakle, mogli bismo reći da procena ranjivosti daje osnovu za sprovođenje testiranja penetracije. Zbog toga su potrebni sveobuhvatni alati koji vam mogu pomoći da postignete i jedno i drugo.
Hajde da istražimo opcije…
Astra
Astra je sveobuhvatan VAPT alat baziran na oblaku, posebno fokusiran na e-trgovinu. Podržava WordPress, Joomla, OpenCart, Drupal, Magento, PrestaShop i druge platforme. Dolazi sa nizom aplikacija, alata za testiranje malvera i mreža za procenu sigurnosti vaše web aplikacije.
Ima intuitivnu kontrolnu tablu koja prikazuje grafičku analizu pretnji blokiranih na vašem web sajtu u određenom vremenskom periodu.
Neke od karakteristika uključuju:
- Primena statičke i dinamičke analize koda
Statičkom i dinamičkom analizom, kod aplikacije se proverava pre i tokom rada kako bi se osiguralo da se pretnje hvataju u realnom vremenu, što omogućava njihovo brzo otklanjanje.
Takođe, automatski skenira aplikacije u potrazi za poznatim malverom i uklanja ga. Slično tome, provera razlika u datotekama potvrđuje integritet vaših datoteka, koje su možda zlonamerno modifikovane od strane internog programa ili spoljnog napadača. U delu za skeniranje malvera možete dobiti korisne informacije o potencijalnom malveru na vašem web sajtu.
Astra takođe vrši automatsko otkrivanje pretnji i evidentiranje, što vam daje uvid u to koji su delovi aplikacije najranjiviji na napade i koji delovi su najviše iskorišćeni na osnovu prethodnih pokušaja napada.
- Testiranje platnog prolaza i infrastrukture
Obavlja testiranje platnih prolaza za aplikacije koje imaju integraciju plaćanja, kao i testove infrastrukture kako bi se osigurala sigurnost infrastrukture na kojoj se aplikacija nalazi.
Astra uključuje test penetracije u mrežu rutera, prekidača, štampača i drugih mrežnih čvorova koji bi mogli izložiti vaše poslovanje internim sigurnosnim rizicima.
Kada su u pitanju standardi, Astrino testiranje se zasniva na glavnim sigurnosnim standardima, uključujući OWASP, PCI, SANS, CERT, ISO27001.
Invicti
Invicti je rešenje za srednja i velika preduzeća koje ima brojne karakteristike. Ističe se svojim robusnim sistemom skeniranja, koji je zaštićen tehnologijom Proof-Based-Scanning™ sa potpunom automatizacijom i integracijom.
Invicti ima veliki broj integracija sa postojećim alatima. Lako se integriše sa alatima za praćenje problema kao što su Jira, Clubhouse, Bugzilla, AzureDevOps, itd. Takođe, ima integraciju sa sistemima za upravljanje projektima kao što je Trello. Slično tome, integriše se sa CI (kontinuirana integracija) sistemima kao što su Jenkins, Gitlab CI/CD, Circle CI, Azure, itd. Ovo omogućava Invicti da se integriše u vaš SDLC (životni ciklus razvoja softvera). Stoga, vaši procesi izgradnje mogu sada da uključe proveru ranjivosti pre nego što uvedete nove funkcije u poslovnu aplikaciju.
Inteligentna kontrolna tabla vam daje uvid u to koje sigurnosne greške postoje u vašoj aplikaciji, njihove nivoe ozbiljnosti i koje su popravljene. Takođe vam pruža informacije o ranjivosti iz rezultata skeniranja i mogućim sigurnosnim propustima.
Tenable
Tenable.io je alat za skeniranje web aplikacija, namenjen preduzećima, koji vam pruža važne informacije o sigurnosnom stanju svih vaših web aplikacija.
Lako ga je podesiti i početi koristiti. Ovaj alat nije fokusiran samo na jednu aplikaciju koju koristite, već na sve web aplikacije koje ste implementirali.
Svoje skeniranje ranjivosti zasniva na opšte prihvaćenim OWASP Top Ten ranjivostima. Ovo svakom stručnjaku za bezbednost olakšava da započne skeniranje web aplikacije i razume rezultate. Možete zakazati automatsko skeniranje kako biste izbegli ponavljajući zadatak ručnog ponovnog skeniranja aplikacija.
Pentest-tools skener vam daje potpune informacije o skeniranju ranjivosti koje možete proveriti na web sajtu.
Pokriva web otiske prstiju, SQL injekciju, skriptovanje na više lokacija, daljinsko izvršavanje komandi, lokalno/udaljeno uključivanje datoteka itd. Besplatno skeniranje je takođe dostupno, ali sa ograničenim funkcijama.
Izveštavanje prikazuje detalje o vašem web sajtu i različitim ranjivostima (ako ih ima) i nivoe njihove ozbiljnosti. Ispod je snimak ekrana besplatnog ‘Light’ skeniranja.
Na PRO nalogu možete izabrati režim skeniranja koji želite da izvršite.
Kontrolna tabla je prilično intuitivna i daje potpuni uvid u sva obavljena skeniranja i različite nivoe ozbiljnosti.
Skeniranje pretnji se takođe može zakazati. Alat ima i funkciju izveštavanja koja omogućava testeru da generiše izveštaje o ranjivostima iz sprovedenih skeniranja.
Google SCC
Sigurnosni komandni centar (SCC) je resurs za nadzor sigurnosti za Google Cloud.
Ovo omogućava korisnicima Google Cloud-a da postave sigurnosni nadzor za svoje postojeće projekte bez potrebe za dodatnim alatima.
SCC sadrži različite izvorne izvore sigurnosti. Uključujući:
- Otkrivanje anomalija u oblaku – Korisno za otkrivanje neispravnih paketa podataka generisanih od DDoS napada.
- Cloud Security Scanner – Koristan za otkrivanje ranjivosti kao što su skriptovanje na više lokacija (XSS), korišćenje lozinki sa čistim tekstom i zastarele biblioteke u vašoj aplikaciji.
- Cloud DLP Data Discovery – Ovo prikazuje listu skladišnih korpi koje sadrže osetljive i/ili regulisane podatke
- Forseti Cloud SCC konektor – Ovo vam omogućava da razvijete sopstvene prilagođene skenere i detektore
Takođe uključuje partnerska rešenja kao što su CloudGuard, Chef Automate, Qualys Cloud Security, Reblaze. Sve ovo se može integrisati u Cloud SCC.
Zaključak
Sigurnost web sajta je izazovna, ali zahvaljujući alatima koji olakšavaju otkrivanje ranjivosti i ublažavanje rizika na mreži, to postaje jednostavnije. Ako već niste, isprobajte neka od gore navedenih rešenja danas kako biste zaštitili svoje poslovanje na mreži.