Acunetix: Τα οφέλη του Web Asset Discovery
Η τελευταία έκδοση του Acunetix εισάγει το web asset discovery – έναν μηχανισμό που σας επιτρέπει να βρίσκετε αυτόματα ιστοσελίδες και διαδικτυακές εφαρμογές, οι οποίες ενδεχομένως ανήκουν στον οργανισμό σας. Έτσι, μπορείτε να αποφασίσετε αν είναι απαραίτητο για αυτά τα στοιχεία να καλύπτονται από τις διαδικασίες ασφαλείας που έχετε για τις διαδικτυακές εφαρμογές σας.
Γιατί χρειάζεστε το web asset discovery;
Οι πολύ μικρές εταιρείες ή όσες ιδρύθηκαν πρόσφατα γνωρίζουν συνήθως κάθε στοιχείο που δημιουργούν και κατέχουν. Παρόλα αυτά, για όσο μεγαλύτερο διάστημα υφίσταται ένας οργανισμός και όσο εξελίσσεται μεγαλώνοντας, άλλο τόσο μεγαλύτερη είναι και η πιθανότητα να «ξεχαστούν» ή να «χαθούν» ορισμένα περιουσιακά στοιχεία.
Στο πλαίσιο μίας πρώτης έρευνας της Acunetix, διαπιστώθηκε ότι οι περισσότεροι μεσαίου μεγέθους οργανισμοί ανακάλυψαν διαδικτυακά περιουσιακά στοιχεία που έπρεπε να προστατευθούν. Οι πιο κοινές αιτίες για την «απώλεια» ή την «εξαφάνιση» διαδικτυακών περιουσιακών στοιχείων είναι:
- Η απουσία διαχείρισης κύκλου ζωής για τα διαδικτυακά περιουσιακά στοιχεία. Για παράδειγμα, πολλά στοιχεία μάρκετινγκ που δεν είναι πλέον σημαντικά παραμένουν στο διαδίκτυο.
- Απουσία καθολικών διαδικασιών ασφαλείας. Στη περίπτωση ενός μεγάλου οργανισμού για παράδειγμα, ένα μικρό τμήμα ενδέχεται να δημιουργεί διαδικτυακά περιουσιακά στοιχεία χρησιμοποιώντας ένα εργαλείο όπως το WordPress όταν το μεγαλύτερο μέρος του οργανισμού αγνοεί την ύπαρξη τέτοιων διαδικτυακών στοιχείων.
- Εσωτερικές εργασίες. Μία ομάδα ή ένα τμήμα ενδέχεται για παράδειγμα να χρησιμοποιεί μία διαδικτυακή εφαρμογή για τις εσωτερικές διαδικασίες του, ωστόσο αυτή η εφαρμογή μπορεί να είναι προσβάσιμη εκτός του οργανισμού και παντελώς άγνωστη στα υπόλοιπα τμήματα.
- Αλλαγές στο προσωπικό. Για παράδειγμα, ένας πρώην υπάλληλος ενδέχεται να έχει δημιουργήσει έναν διαφημιστικό ή προωθητικό χώρο για μια καμπάνια που δεν παρέδωσε στην εταιρεία πριν αποχωρήσει από αυτήν.
- Συγχωνεύσεις και εξαγορές. Για αρκετούς οργανισμούς, η συγχώνευση μεταδεδομένων για όλα τα διαδικτυακά στοιχεία όλων των τμημάτων τους αποτελεί δύσκολη υπόθεση.
- Εξωτερικοί εργολάβοι. Λάβετε υπόψη σας την περίπτωση να έχετε προσλάβει έναν εξωτερικό εργολάβο για τη δημιουργία μίας ιστοσελίδας ή μίας διαδικτυακής εφαρμογής και να έχει αφήσει εκτεθειμένη και δημοσίως προσβάσιμη μία δοκιμαστική έκδοση του προϊόντος που ζητήσατε να κατασκευάσει για λογαριασμό σας.
Γιατί χρειάζονται προστασία όλα τα περιουσιακά στοιχεία σας;
Το ξέρετε ότι ακόμα και ένα παροπλισμένο ή απαρχαιωμένο, δευτερευούσης σημασίας περιουσιακό στοιχείο μπορεί να αποτελέσει σημαντική απειλή για την ασφάλεια της επιχείρησης σας; Μία ιστοσελίδα για παράδειγμα που βασίζεται στο WordPress, η οποία δημιουργήθηκε για μια προωθητική καμπάνια που έλαβε χώρα πριν από 2 χρόνια και παραμένει δημοσίως προσβάσιμη μέσω ενός ειδικού domain και όχι μέσω του domain της επιχείρησης σας, μπορεί να μοιάζει αβλαβής αλλά δεν είναι.
Ας υποθέσουμε τώρα ότι αυτή η εγκαταλελειμμένη τοποθεσία WordPress έχει μια ευπάθεια cross-scripting (XSS) που δεν έχει ενημερωθεί/ επιδιορθωθεί. Κάποιος εισβολέας θα μπορούσε να αξιοποιήσει αυτή την ευπάθεια για να εξαπολύσει μία επίθεση ηλεκτρονικού «ψαρέματος». Το domain μάλιστα που χρησιμοποιήσατε για την δική σας καμπάνια πριν από 2 χρόνια, στα χέρια του κυβερνοεγκληματία, γίνεται εργαλείο για μία μεγάλη επίθεση ενάντια σε άλλες εταιρείες.
Κάποιος άλλος οργανισμός, που πέφτει θύμα της επίθεσης, απευθύνεται στις αρχές ή σε κάποια άλλη αρμόδια υπηρεσία για να ξεκινήσει εγκληματολογική έρευνα και από την έρευνα που πραγματοποιήθηκε αποκαλύφθηκε ότι ένας τομέας που ανήκει στην επιχείρησή σας χρησιμοποιήθηκε σε αυτή την μεγάλη εκστρατεία ηλεκτρονικού «ψαρέματος». Στη συνέχεια, η επιχείρηση που έπεσε θύμα της επίθεσης προχωράει σε αγωγή εναντίον σας -ως συνεργού σε έγκλημα- ζητώντας αποζημίωση.
Το παραπάνω σενάριο, είναι ακριβώς αυτό που συμβαίνει συνήθως στην περίπτωση που αφήσετε πίσω σας απροστάτευτα περιουσιακά στοιχεία σας.
Πως λειτουργεί το Web Asset Discovery;
Τα δημοσίως προσβάσιμα διαδικτυακά περιουσιακά στοιχεία συνήθως διαθέτουν κάποιο τύπο πληροφορίας που μπορεί να οδηγήσει στον προηγούμενο ιδιοκτήτη τους. Για παράδειγμα, αν κάποιο στοιχείο είναι διαθέσιμο σε δημόσιο domain, αυτό το domain μπορεί να περιέχει πληροφορίες εγγραφής (registration) που οδηγούν στον ιδιοκτήτη του. Αν το διαδικτυακό στοιχείο είναι διαθέσιμο μέσω ενός ασφαλούς καναλιού, τότε το πιστοποιητικό μπορεί να περιέχει πληροφορίες που οδηγούν στον ιδιοκτήτη του.
Το χαρακτηριστικό Asset Discovery στο Acunetix ψάχνει διαρκώς για δημόσια διαθέσιμες πληροφορίες και «σαρώνει» τον ιστό για να εντοπίσει τυχόν νέα περιουσιακά στοιχεία που ενδέχεται να σχετίζονται με την επιχείρηση σας. Στη συνέχεια, για λόγους ευκολίας, σας επιτρέπει να εξετάσετε την λίστα με τα στοιχεία που έχουν αναγνωριστεί και να αποφασίσετε αν κάποιο από αυτά πρέπει να αντιμετωπίζεται ως στόχος για το Acunetix. Δείτε πως μπορείτε να χρησιμοποιήσετε το asset discovery στη πράξη.
Το Asset Discovery είναι ήδη διαθέσιμο για όλες τις εκδόσεις on-premises του Acunetix και σύντομα θα είναι διαθέσιμο και στο Acunetix Online. Για να το δοκιμάσετε, ζητήστε ένα demo του Acunetix Premium.
Πηγή: Acunetix