Video: ImmuniWeb® AI Application Security Testing Platform Overview (Ottobre 2024)
Se la tua azienda si affida al tuo sito Web, come la maggior parte delle aziende, lo devi a te stesso per assicurarti che non sia pieno di falle nella sicurezza. ImmuniWeb, uno scanner di codici di High-Tech Bridge, fornisce alle piccole aziende una valutazione approfondita della vulnerabilità per scoprire i problemi del sito a un prezzo conveniente di $ 639 (diretto).
Esistono molte ragioni per il targeting di siti Web. I criminali informatici possono tentare di corrompere il tuo sito con malware che infetti i visitatori del tuo sito e ruberebbe le loro credenziali bancarie online. Forse a qualcuno non piace la tua attività e vuole deturpare il tuo sito. Forse gli aggressori sono alla ricerca dei preziosi dati memorizzati nel database e il sito Web è un modo semplice per entrare. Indipendentemente da ciò, i siti Web sono sempre più sotto attacco e le aziende devono assicurarsi che i difetti di sicurezza e gli errori di configurazione non corretti non lo rendano facile per il male ragazzi a passeggiare dentro.
I valutatori di High-Tech Bridge utilizzano lo scanner ImmuniWeb per eseguire una scansione automatica o manuale e forniscono tutti i risultati in un report completo, insieme a consigli su come risolvere eventuali problemi rilevati. I rapporti sono facili da leggere e abbastanza dettagliati. A seconda della natura della tua attività, il rapporto finale di ImmuniWeb potrebbe sembrare un po 'incostante, ma, nel complesso, ottenere quella valutazione di base è indolore e utile. Molte piccole imprese ritengono che la valutazione della vulnerabilità sia qualcosa di cui i "grandi" devono preoccuparsi, ma ImmuniWeb dimostra che anche le organizzazioni più piccole possono permettersi di prendere sul serio la sicurezza.
Il punto centrale di ImmuniWeb è guardare un sito di produzione. Il fatto di mettere insieme un sito di test non avrebbe davvero senso perché il sito non sarebbe abbastanza robusto e i risultati sarebbero stati artificiali. Ho contattato due piccole imprese, molto diverse tra loro, che hanno accettato di effettuare una valutazione ImmuniWeb, a condizione che avessero l'opportunità di vedere i rapporti risultanti e risolvere i problemi. Sul primo sito, gli utenti possono acquistare libri, guardare video e partecipare a un forum della comunità. Il secondo sito era basato su WordPress e presentava articoli, video clip e podcast.
Portale ImmuniWeb
Il portale ImmuniWeb è il centro di tutte le comunicazioni con il team di valutazione. Ho registrato un account, specificato l'URL del sito e fornito informazioni di base. Mentre c'era una sezione per le opzioni avanzate (come dire se parti del sito erano nascoste dietro una richiesta di accesso), non mi sono preoccupato di nulla di ciò: solo i miei dati di contatto, le informazioni di pagamento e la selezione di una data sul calendario per iniziare la valutazione. È così facile
Nel complesso, il portale sembra un po 'datato e non è così liscio come ci si aspetta dalle applicazioni Web, ma, d'altra parte, è facile da navigare e fa esattamente il lavoro per cui è stato progettato. Ho visto lo stato della valutazione e ho ricevuto avvisi quando il team ImmuniWeb ha inviato un messaggio. Potrei programmare più valutazioni e tenerne traccia separatamente. Potrei anche scaricare i rapporti una volta completati.
C'era una strana stranezza che mi infastidiva. Il menu a discesa del prefisso, che era un campo obbligatorio, non forniva un'opzione per "Ms." Solo Miss o Mrs. Quindi, per tutta la durata della recensione, sono stato un "Prof."
La valutazione ImmuniWeb
Ho ricevuto una notifica via e-mail quando il test è iniziato e ancora una volta completato. Sono stato anche avvisato che il sito avrebbe dovuto consentire l'accesso per una manciata di indirizzi IP. Ci sono voluti un giorno o due perché il rapporto fosse pronto. Ho apprezzato la comunicazione regolare.
Per la prima valutazione, il sito in questione (il sito della libreria) è stato ospitato su Amazon EC2 e lo scanner ImmuniWeb non è stato in grado di vederlo. Ciò potrebbe essere dovuto a diversi motivi, come un sistema di rilevamento delle intrusioni che blocca l'accesso o altri sistemi che limitano la scansione automatica. Il team è passato a una valutazione manuale e ha finito senza che io dovessi fare nulla. Lo scanner non ha avuto problemi a vedere il secondo sito (il blog di WordPress), anche su una piattaforma cloud.
Gli amministratori del sito hanno affermato che durante la valutazione non si sono verificati blip o problemi con le prestazioni del sito. Questa è un'ottima cosa perché l'ultima cosa che un'azienda vuole è affrontare i tempi di inattività.
I risultati del rapporto
Quando i rapporti erano pronti, li ho scaricati per vedere come andavano i siti. Nessuno dei due siti presentava difetti critici, il che era un sollievo, ma entrambi presentavano problemi di media e bassa priorità. Per alcune aree, la valutazione sembrava un po 'troppo elevata, in quanto il rapporto non conteneva alcuna analisi più approfondita, come gli attacchi di vulnerabilità alla forza bruta. Nel complesso, il rapporto ha trattato molte delle basi, ma alcune delle voci individuali sono sembrate un po 'pignolose e un vero e proprio fallimento per l'organizzazione. Ci sono stati elementi contrassegnati come problemi che chiaramente non lo erano se considerati nel contesto del business o dell'architettura del sito.
Ad esempio, il sito della libreria aveva sia elementi di e-commerce che wiki, e il rapporto oscurava ripetutamente il sito per il fatto che chiunque potesse creare una pagina, la caratteristica più basilare di un wiki. Sarebbe stato bello se ci fosse un modo per specificare alcune cose da lasciare fuori dal rapporto, soprattutto perché il sito era stato scansionato manualmente. Invece, ImmuniWeb ha adottato un approccio unico per tutti e non ha tenuto conto del fatto che la possibilità di creare una pagina era una funzionalità, non un problema, in questo caso. Temo che le piccole imprese non abbiano la pazienza di esaminare il rapporto alla ricerca di problemi reali se si trovano ad affrontare voci che non corrispondono al loro caso d'uso.
Un altro "problema" era il fatto che entrambi i siti scansionati mostravano alcuni indirizzi e-mail sulle loro pagine, come per il team di marketing, le vendite e persino il CEO. Lo scanner non ha fatto distinzione tra un indirizzo di posta elettronica generico necessario ai clienti per contattare l'azienda e un potenziale problema di dati. Ancora una volta, è molto chiedere da un sistema automatizzato, ma crea un rapporto affollato.
D'altra parte, per il sito WordPress, ImmuniWeb identificato il sito, basato su WordPress, presentava una vulnerabilità di livello elevato nell'iniezione SQL. La maggior parte delle piattaforme di valutazione delle vulnerabilità fornisce l'identificatore CVE (Common Vulnerabilities and Exposures) e un collegamento a una descrizione del problema e lascia all'amministratore del sito capire dove si trova il problema e come risolverlo. Non ImmuniWeb. Il rapporto ha fornito istruzioni molto chiare per l'amministratore di WordPress: aggiorna il plug-in AdRotate. Questo è esattamente il tipo di dettagli di riparazione necessari agli amministratori non tecnici e ImmuniWeb è stata in grado di fornire tali informazioni.
I rapporti contengono anche informazioni sulla configurazione SSL del sito e se gli squatter controllano domini dal suono simile. Per alcune aziende, è utile conoscere quest'ultimo dettaglio.
Un buon passo avanti
Per la maggior parte delle aziende, ImmuniWeb è un buon inizio. Se non hai idea di come sia la tua immagine di sicurezza, vale la pena ottenere tale valutazione, soprattutto al prezzo estremamente conveniente di $ 639. Sebbene sia necessario effettuare ancora alcune richieste di giudizio su quali parti del report siano rilevanti per la propria attività, le informazioni fornite sono di facile lettura e comprensione, che gli amministratori non tecnici apprezzeranno.
