Πως εντοπίζει τις ευπάθειες το Netsparker
Οι ερωτήσεις για τις εσωτερικές λειτουργίες της μηχανής σάρωσης ευπαθειών του Netsparker είναι συχνό φαινόμενο. Άτομα εξοικειωμένα με τους σαρωτές δικτύου και ιών ρωτούν επίσης ποιες βάσεις δεδομένων ευπάθειας χρησιμοποιούνται για το Netsparker και πόσο συχνά ενημερώνονται. Στη πραγματικότητα, τα πράγματα είναι πολύ πιο ενδιαφέροντα από το να «τσεκάρεις» κουτάκια σε μια λίστα γνωστών ζητημάτων. Ήρθε η ώρα να ξεκαθαρίσουμε το τοπίο σχετικά με τον τρόπο λειτουργίας ενός πρωτοποριακού σαρωτή ευπαθειών ιστού.
Δύο πηγές πληροφοριών για ευπάθειες
Όταν οι περισσότεροι άνθρωποι ακούν τη λέξη «σαρωτής», η πρώτη σκέψη τους πάει πρώτα στο λογισμικό που αναζητά γνωστούς κινδύνους. Αυτό εξάλλου είναι σε γενικές γραμμές αυτό που κάνουν οι σαρωτές ιών και οι σαρωτές δικτύου: «τσεκάρουν» στόχους σε μια λίστα γνωστών ζητημάτων, όπως για υπογραφές κακόβουλου λογισμικού και αναφορές ευπαθειών CVE. Έτσι, όταν οι πελάτες βλέπουν πόσο αποτελεσματικό είναι το Netsparker, η πρώτη ερώτηση που κάνουν συνήθως είναι: «Ποια βάση δεδομένων ευπάθειας χρησιμοποιείτε;»
Λοιπόν, η σύντομη απάντηση είναι: «Κατά βάση, καμία». Η πλήρης απάντηση είναι ότι το Netsparker είναι ένας προηγμένος, ευρετικός σαρωτής (μέθοδος ενεργειών με βάση κτηθείσες εμπειρίες) που ελέγχει και για γνωστές ευπάθειες εφαρμογών ιστού – αλλά ας προχωρήσουμε λίγο σε μεγαλύτερη ανάλυση.
Το κοινότυπο μέρος: CVEs
Η ιδέα της εμπιστοσύνης σε μια βάση δεδομένων ευπάθειας προέρχεται από τον κόσμο της ασφάλειας συστημάτων και δικτύων, όπου όταν εντοπίζεται κάποιο σφάλμα ή ευπάθεια λογισμικού ή υλικού, δημοσιοποιείται και προστίθεται σε μια βάση δεδομένων ευπαθειών όπως η Common Vulnerabilities and Exposures (CVE®). Οι σαρωτές δικτύου, για παράδειγμα, λειτουργούν εντοπίζοντας τέτοια γνωστά ζητήματα σε συστήματα στόχους. Για να «κλείσετε» το κενό ασφαλείας ή να επιδιορθώσετε στη συνέχεια την ευπάθεια που εντοπίστηκε, το μόνο που έχετε να κάνετε είναι να εγκαταστήσετε το απαραίτητο patch ή να ενημερώσετε το στοιχείο που επηρεάζεται.
Ορισμένα CVEs επίσης έχουν εφαρμογή και στις εφαρμογές Ιστού. Πρόκειται για σφάλματα ή κενά ασφαλείας σε προϊόντα που χρησιμοποιούνται ευρέως και πρέπει να διορθωθούν για να αποφευχθούν επιθέσεις. Ως μέρος της διαδικασίας σάρωσης, το Netsparker ελέγχει τέτοια ζητήματα με βάση το μητρώο CVE και άλλες βάσεις δεδομένων ευπαθειών, και επομένως, οι όποιες σαρώσεις του καλύπτουν ευπάθειες όπως το Heartbleed (CVE-2014-0160) ή το POODLE (CVE-2014-3566). Μάλιστα, το πρόγραμμα παροχής συμβουλών ασφαλείας (security advisory program) της Netsparker συμβάλλει ενεργά στην εύρεση σφαλμάτων και ευπαθειών σε πακέτα ανοιχτού κώδικα, προχωρώντας σε σαρώσεις για ευπάθειες κατά τη διάρκεια των δοκιμών της μηχανής του. Για να μάθετε περισσότερα για αυτές τις ενέργειες των ερευνητών ασφαλείας, ανατρέξτε στο άρθρο της Netsparker σχετικά με τις γνωστοποιήσεις ευπαθειών.
Αν και αποτελεί σημαντικό μέρος της ασφάλειας συνολικά, ο έλεγχος για γνωστά ζητήματα και γνωστές ευπάθειες είναι σχετικά απλός και όχι ιδιαίτερα συναρπαστικός. Τα πράγματα γίνονται ενδιαφέροντα όταν πρέπει να ελέγξετε για άγνωστα ζητήματα – και εκεί είναι που μπορείτε να ανακαλύψετε πόσο αποτελεσματική είναι πραγματικά η λύση ασφάλειας εφαρμογών Ιστού που χρησιμοποιείτε.
Το πραγματικά έξυπνο μέρος: Ευρετική
Η συντριπτική πλειονότητα των τρωτών σημείων εφαρμογών ιστού είναι ολοκαίνουργια ζητήματα που βρίσκονται σε νέο κώδικα σε προσαρμοσμένες εφαρμογές – οπότε πως είναι δυνατόν να γνωρίζετε για αυτές; Αυτή είναι η κύρια διαφορά μεταξύ των δοκιμών ασφαλείας εφαρμογών Ιστού και των ελέγχων ασφαλείας βάσει υπογραφής: η σάρωση για ευπάθειες Ιστού αφορά κυρίως στην εύρεση νέων τρωτών σημείων που είναι αποτέλεσμα υποκείμενων αδυναμιών που κατηγοριοποιούνται στο σύστημα CWE.
Για να εντοπίσει προηγουμένως άγνωστες απειλές και κενά ασφαλείας, το Netsparker χρησιμοποιεί μια πρωτοποριακή μηχανή ευρετικής σάρωσης που ανιχνεύει ιστοσελίδες και εφαρμογές για ευπάθειες, όπως θα έκανε ένας penetrator tester (δοκιμαστής διείσδυσης).
Το Netsparker χρησιμοποιεί μια ποικιλία προηγμένων ευρετικών τεχνικών για να εντοπίσει όλα τα σημεία εισόδου σε εφαρμογές Ιστού και να τα δοκιμάσει για ευπάθειες. Το παραπάνω περιλαμβάνει την αυτόματη επανεγγραφή διευθύνσεων URL για μέγιστη κάλυψη σάρωσης, το αυτοματοποιημένο «fuzzing» (αυτοματοποιημένη διαδικασία εισαγωγής τυχαίων δεδομένων) για μη αναμενόμενες εισόδους που ενδέχεται να αποκαλύψουν αδυναμίες καθώς και την ιδιόκτητη τεχνολογία Proof-Based Scanning™ για την ασφαλή δοκιμή των αδυναμιών ώστε να είστε σε θέση να αποδείξετε ότι η ευπάθεια είναι πραγματική.
Επειδή οι σαρωτές ευπαθειών Ιστού δεν λειτουργούν βάσει υπογραφών, η αποτελεσματικότητά τους εξαρτάται σε μεγάλο βαθμό από την ποιότητα και την ωριμότητα της υποκείμενης ευρετικής μηχανής σάρωσης. Αν η μηχανή σάρωσης είναι πολύ πρόθυμη να επισημάνει ύποπτα «responses» ως σημάδια ευπάθειας, θα κατακλύσει τον χρήστη με ψευδώς θετικά. Αν από την άλλη είναι «επιφυλακτική» ή απλώς δεν είναι αρκετά προηγμένη, θα τις ξεφύγουν πραγματικές ευπάθειες ενώ ενδέχεται ακόμα και να παρακάμψει ολόκληρες σελίδες, επειδή για παράδειγμα δεν μπορεί να αντιμετωπίσει τον έλεγχο ταυτότητας. Ως βετεράνος της βιομηχανίας και τεχνολογικός ηγέτης, η Netsparker ξέρει πως να επιτύχει τη σωστή ισορροπία.
Αποκτήστε ότι καλύτερο και από τους δύο κόσμους
Ο σκοπός μιας λύσης ασφάλειας εφαρμογών Ιστού είναι να βοηθήσει τον χρήστη να βελτιώσει την ασφάλεια περισσότερο αποτελεσματικά από ότι αν πραγματοποιούνταν μόνο χειροκίνητες δοκιμές. Και αυτό πηγαίνει πέρα από τις βάσεις δεδομένων ευπαθειών ή ακόμη και τη σάρωση. Για να λάβετε μετρήσιμες βελτιώσεις της ασφαλείας, χρειάζεστε μια ολιστική εικόνα της ασφάλειας εφαρμογών Ιστού που συγκεντρώνει ακριβείς πληροφορίες από όλες τις σχετικές πηγές και τις εφαρμόζει αυτοματοποιημένα και αποτελεσματικά.
Το Netsparker συνδυάζει υψηλής ποιότητας ευρετικά αποτελέσματα από την κορυφαία μηχανή σάρωσης ευπαθειών στον κλάδο με πληροφορίες για γνωστά ζητήματα που αναφέρονται σε βάσεις δεδομένων ευπάθειας. Όλα τα αποτελέσματα για ευπάθειες στη συνέχεια συμπληρώνονται από πληροφορίες και νέα στοιχεία που ανιχνεύτηκαν, από προειδοποιήσεις για παρωχημένες τεχνολογίες Ιστού, από λεπτομερείς περιγραφές ευπαθειών με προτάσεις αντιμετώπισης, από προτάσεις βέλτιστων πρακτικών, από αναφορές συμμόρφωσης και πολλά άλλα. Έτσι, θα έχετε μία πλήρη εικόνα για το πρέπει να διορθώσετε στο περιβάλλον Ιστού σας, και επομένως θα είστε σε θέση να αρχίσετε να λαμβάνετε πραγματική αξία από το Netsparker μέσα σε μόλις λίγες ημέρες.