Melhore a segurança de aplicativos da Web com o Detectify Asset Monitoring

Como você garante que seu aplicativo e sua infraestrutura estejam protegidos contra vulnerabilidades de segurança?

O Detectify oferece um conjunto completo de inventário de ativos e soluções de monitoramento que incluem varredura de vulnerabilidade, descoberta de host e impressão digital de software. Seu uso pode ajudar a evitar surpresas desagradáveis, como hosts desconhecidos que apresentam vulnerabilidades ou subdomínios que podem ser facilmente sequestrados.

Muitas coisas podem dar errado e um invasor pode se aproveitar disso. Alguns comuns são:

  • Mantendo portas desnecessárias abertas
  • Expondo subdomínio inseguro, arquivos confidenciais, credenciais
  • Mantendo o .git acessível
  • Principais vulnerabilidades potenciais do OWASP, como XSS, SSRF, RCE

Você pode debater que eu posso executar manualmente o scanner de porta, encontrar subdomínio, testar vulnerabilidades, etc. Isso é bom se você fizer isso de vez em quando, mas será demorado e não econômico quando você tem que fazer isso com frequência.

Então, qual é a solução?

Ir para Detectar monitoramento de ativosque monitora os recursos do seu aplicativo da web e realiza uma verificação regular para tudo o que foi discutido acima e muitas outras verificações para manter seu negócio online seguro 🛡️.

  • Detectify hospeda sua própria comunidade privada de hackers éticos para pesquisa de vulnerabilidade de crowdsourcing, por isso está dando a você alertas da perspectiva de um invasor real.
  • Outras ferramentas dependem de assinaturas e testes de versão, que são mais conformidade do que segurança real. Os hackers Detectify fornecem as cargas reais que são usadas para criar os testes de segurança, fornecendo um conjunto exclusivo de testes que não é visto em outros produtos no mercado.
  • O resultado? Uma maneira mais segura de testar a segurança que fornece apenas resultados que podem ser verificados
  • Descobertas de segurança que são realmente interessantes de corrigir!

Em seus blogueeles mencionam que o tempo de desenvolvimento do teste de monitoramento de ativos foi reduzido para 25 minutos desde o hacker até o lançamento.

Soa interessante?

Vamos ver como isso funciona.

Para começar a trabalhar com o Detectify Asset Monitoring, o primeiro passo é verificar se você é o proprietário do domínio que vai monitorar ou se está autorizado a realizar uma verificação de segurança. Este é um passo necessário que o Detectify toma para garantir que as informações confidenciais que ele revela não acabem nas mãos erradas.

  Onde você deve fazer alarde ao construir um PC (e onde você não deve)

Podemos fazer a verificação de domínio de várias maneiras: enviando um arquivo .txt específico para o diretório raiz do seu domínio, com o Google Analytics, por meio de um registro DNS ou com uma metatag em uma página da web. Há também uma opção de verificação assistida se nenhum dos métodos de autoatendimento funcionar para você.

Criando um perfil de escaneamento

A segunda etapa na configuração do Detectify é criar um perfil de verificação, que pode ser associado a qualquer domínio, subdomínio ou endereço IP do seu site com serviços HTTP ou HTTPS em execução.

Depois de configurar um perfil de digitalização, você pode configurá-lo com diferentes opções.

Por exemplo, você pode ter dois perfis associados ao mesmo domínio, mas com credenciais diferentes. Dessa forma, você pode realizar duas varreduras diferentes no mesmo servidor e comparar os resultados.

Assim que seu perfil de escaneamento estiver configurado, você estará pronto para escanear, o que você faz apenas pressionando o botão Iniciar Escaneamento ao lado do perfil de escaneamento que deseja usar. O painel mudará para mostrar que uma verificação está em andamento.

O tempo para realizar a varredura depende do volume de conteúdo do site. Se o volume for muito grande, a varredura pode levar horas e você pode notar uma leve degradação no desempenho do site enquanto a varredura está em andamento. Portanto, meu conselho é realizar verificações quando seu site estiver menos ocupado.

Relatórios de verificação

Quando o Detectify terminar de escanear seu site, você receberá um e-mail informando isso. Nesse e-mail, ele informará o tempo necessário para realizar a verificação, o número de problemas encontrados agrupados por gravidade e uma pontuação geral de ameaças que mostra o quão bom ou ruim é o site em termos de segurança.

Você pode ver quais URLs foram rastreados durante a varredura acessando o relatório de varredura mais recente e clicando no item “URLs rastreados” na lista de descobertas de informações. A seção Detalhes mostra quantos URLs o rastreador tentou acessar durante a verificação e quantos deles foram identificados como únicos.

Há um hiperlink na parte inferior da página para baixar um arquivo CSV contendo todos os URLs rastreados e o código de status de cada um. Você pode percorrer esta lista para garantir que todas as partes importantes do seu site foram visitadas.

  8 maneiras de corrigir o problema "Este vídeo está indisponível no momento" no Prime Video

Para planejar a correção e obter resultados mais precisos em verificações futuras, o Detectify permite que você marque cada descoberta como “Corrigida”, “Risco aceito” ou “Falso positivo”. Se você marcar uma descoberta como “Fixed”, o scanner usará a mesma tag em relatórios futuros, então você não precisará lidar com ela novamente para correção. Um “risco aceito” é algo que você não deseja que seja relatado em todas as varreduras, enquanto um “falso positivo” é uma descoberta que pode se assemelhar a uma vulnerabilidade, embora não seja.

Ah! muitas descobertas para consertar que eu nunca pensei.

O Detectify oferece muitas páginas e visualizações diferentes para ver os resultados da verificação. A exibição “Todos os testes” permite que você veja todas as vulnerabilidades descobertas pela verificação. Se você estiver familiarizado com a classificação OWASP, poderá verificar a exibição OWASP para ver o grau de vulnerabilidade do seu site para as 10 principais vulnerabilidades.

Para ajustar as verificações futuras, você pode usar as opções de lista branca/negra do Detectify para adicionar áreas de seu site que podem estar ocultas porque nenhum link aponta para elas. Ou você pode proibir caminhos nos quais não deseja que o rastreador entre.

O inventário de ativos

A página de inventário de ativos do Detectify mostra uma lista de ativos raiz – como domínios adicionados ou endereços IP – com muitas informações úteis que o ajudarão a proteger seus investimentos em TI. Ao lado de cada ativo, um ícone azul ou cinza indica se o monitoramento de ativos está ativado ou desativado para ele.

Você pode clicar em qualquer um dos ativos no inventário para obter uma visão geral dele. A partir daí, você pode examinar subdomínios, perfis de varredura, tecnologias de impressão digital, descobertas de monitoramento de ativos, configurações de ativos e muito mais.

Descobertas de monitoramento de ativos

Ele agrupa os resultados encontrados em três categorias de acordo com sua gravidade: alta, média e baixa.

As descobertas de alto nível refletem principalmente problemas em que informações confidenciais (por exemplo, credenciais ou senhas de clientes) estão sendo expostas ao público ou são potencialmente exploráveis.

Os achados de nível médio mostram situações em que expõe algumas informações. Mesmo que essa exposição não seja prejudicial por si só, um hacker pode se aproveitar dela combinando-a com outras informações.

  Guia completo para hospedar seu WordPress no SiteGround

Por fim, as descobertas de baixo nível mostram subdomínios que podem ser controlados e devem ser verificados para verificar sua propriedade.

O Detectify fornece uma base de conhecimento com várias correções e dicas de correção para ajudá-lo a lidar com as descobertas encontradas durante a verificação. Depois de tomar medidas para corrigir os problemas, você pode executar uma segunda verificação para verificar se os problemas foram corrigidos com eficácia. As opções de exportação permitem criar arquivos PDF, XML ou JSON com relatórios de descobertas para enviá-los a terceiros ou serviços como Trello ou JIRA.

Aproveitando ao máximo o Detectify

O guia de práticas recomendadas do Detectify recomenda adicionar um nome de domínio sem subdomínios para obter uma visão geral de todo o site, se não for muito grande. Mas há um limite de tempo de 9 horas para uma varredura completa, após o que o scanner passa para a próxima fase do processo. Por esse motivo, pode ser uma boa ideia dividir seu domínio em perfis de verificação menores.

Sua primeira varredura pode mostrar que alguns ativos têm mais vulnerabilidades do que outros. Esse é outro motivo – além da duração da verificação – para começar a quebrar seu domínio. Você deve identificar os subdomínios mais críticos e criar um perfil de verificação para cada um deles.

Preste atenção à lista de “Hosts descobertos”, pois ela pode mostrar algumas descobertas inesperadas. Por exemplo, sistemas que você não sabia que tinha. Esta lista é útil para identificar os aplicativos mais importantes que merecem uma verificação mais aprofundada e, portanto, um perfil de verificação individual.

O Detectify sugere que é melhor definir escopos menores para cada perfil de varredura porque pode obter descobertas mais precisas e consistentes. Também é uma boa ideia dividir os escopos reunindo tecnologias ou estruturas semelhantes dentro de cada perfil. Dessa forma, o scanner poderá executar testes mais relevantes para cada perfil de digitalização.

Conclusão

O inventário e o monitoramento de ativos são cruciais para qualquer tamanho e site, incluindo comércio eletrônico, SaaS, varejo, financeiro e mercado. Não mantenha nenhum ativo desacompanhado; tente o teste por 2 semanas para ver como ele pode ajudá-lo a encontrar brechas para melhorar a segurança de aplicativos da web.