Skaner bezpieczeństwa

W odpowiedzi na zapotrzebowanie rynku i realne zagrożenia atakami aplikacyjnymi i DDoS, które w świadomości właścicieli firm, portali internetowych i innych instytucji jeszcze nie istnieją, wypuściliśmy do sieci skaner bezpieczeństwa.

Przeprowadziliśmy ponad 1000 testów publicznych, z których płyną mało optymistyczne wnioski. Aż ok. 90% badanych stron miało wykryte podatności właśnie w warstwie aplikacji (warstwa 7 modelu OSI). W instytucjach publicznych zupełnie brakuje umiejętności przewidywania konsekwencji cyberataków. W rezultacie instytucje są zupełnie pozbawione jakiejkolwiek ochrony.

W dalszym ciągu na polskim rynku zbiera żniwa przekonanie, które zamyka się w krótkiej i wskazującej na brak świadomości odpowiedzi „nie, nie potrzebuję dzisiaj, może w przyszłości”. Walka z konsekwencjami może okazać się opłakana w skutkach. Utrata reputacji, upadek wizerunku, konsekwencje finansowe, prawne mogą zabić lub wyhamować każdy biznes. Walka z konsekwencjami nie ma sensu. Koszty ochrony przed atakami nie są duże. Jednocześnie poświęcając niewielką część budżetu na ochronę nie ma obaw przed jakimikolwiek konsekwencjami wynikającymi z ataku.

Skaner bezpieczeństwa dostępny jest pod adresem https://greywizard.com/zbadaj-bezpieczenstwo po wpisaniu domeny wykonywany jest szereg testów, które sprawdzają zachowanie serwisu na próby nadużyć oraz badają wykorzystane technologie/narzędzia i ich podatności na ataki. Dodatkowo audytowane są nagłówki HTTP wysyłane przez aplikację, ustawienia SSL, popularne usługi dostępne publicznie, które powinny być zabezpieczone firewallem.

W wyniku działania skanera otrzymujemy informację o ogólnym stanie bezpieczeństwa serwisu:



Dodatkowo wyszczególnione są zalecenia dotyczące wymaganych poprawek w konfiguracji, które oznaczone są jednym z 3 kolorów, na zielono rzeczy, które spełniają wszystkie normy bezpieczeństwa:


na żółto zaznaczone są zagadnienia, które powinny być poprawione, ale nie stanowią krytycznych luk bezpieczeństwa:


natomiast kolor czerwony oznacza, że został znaleziony błąd krytyczny, który powinien zostać natychmiast poprawiony:


Dokładniejszego wyjaśnienia wymaga wynik audytu WAF (Web Application Firewall) często właściciel domen mogą zobaczyć całą kategorię na czerwono:


Nie jest to jednoznaczne z tym, że dokonaliśmy udanych ataków typu XSS, SQL Injection, Code Injection itp. Poprawnie zabezpieczona aplikacja powinna natomiast w sposób proaktywny chronić  przed takimi próbami i nie dopuszczać zapytań do backendu. W ten sposób mamy gwarancję, że nawet w przypadku błędów programistycznych lub zaniedbań przestępcy nie wykradną danych wrażliwych. W przypadku zastosowania rozwiązań typu WAF próby nadużyć kończą się kodem błędu i stosownym komunikatem, nie docierając od wnętrza aplikacji:

Przykładowy atak typu XSS zablokowany przez WAF

Należy mieć na uwadze, że skaner bezpieczeństwa wykonuje podstawowe testy bezpieczeństwa, w celu dokładnego sprawdzenia stanu bezpieczeństwa aplikacji proponujemy wykonanie pełnego audytu


Brak komentarzy :

Prześlij komentarz