וִידֵאוֹ: ImmuniWeb® AI Application Security Testing Platform Overview (אוֹקְטוֹבֶּר 2024)
אם העסק שלך מסתמך על אתר האינטרנט שלך - כמו שרוב העסקים עושים - אתה חייב לעצמך לוודא שהוא לא מכוסה חורי אבטחה. ImmuniWeb, סורק קוד מגשר ההיי-טק, מספק לעסקים קטנים הערכת פגיעות יסודית בכדי לחשוף סוגיות באתר במחיר שווה לכל נפש של 639 $ (ישיר).
ישנן סיבות רבות למיקוד לאתרים. פושעי סייבר עשויים לנסות להשחית את האתר שלך עם תוכנות זדוניות אשר ישפיעו על המבקרים באתר שלך וגונבים את אישורי הבנקאות המקוונת שלהם. אולי מישהו לא אוהב את העסק שלך ורוצה להחליף את האתר שלך. יתכן והתוקפים עוקבים אחר הנתונים החשובים המאוחסנים בבסיס הנתונים שלך והאתר הוא דרך קלה פנימה. בלי קשר, אתרי אינטרנט מותקפים יותר ויותר, ועסקים צריכים לוודא כי פגמי אבטחה וטעויות תצורה שלא הוענקו לא מקלים על הרע. חבר'ה לטייל ממש פנימה.
המעריכים של גשר ההיי-טק משתמשים בסורק ImmuniWeb כדי לבצע סריקה אוטומטית או ידנית. הם מספקים את כל התוצאות בדוח מקיף, יחד עם המלצות כיצד לתקן כל בעיה שהם מגלים. הדוחות קלים לקריאה ומפורטים למדי. תלוי באופי העסק שלך, הדו"ח הסופי של ImmuniWeb עשוי להרגיש מעט פגע-או-חסר, אך בסך הכל, קבלת הערכת קו-בסיס זו אינה מועילה לכאבים. עסקים קטנים רבים מעריכים כי הערכת הפגיעות היא דבר ש"החבר'ה הגדולים "צריכים לדאוג להם, אך ImmuniWeb מראה כי הארגונים הקטנים יותר יכולים להרשות לעצמם לקחת ביטחון ברצינות.
כל הנקודה של ImmuniWeb היא להסתכל באתר ייצור. השיטוט שלי יחד עם מבחן לא ממש הגיוני כי האתר לא יהיה מספיק חזק והתוצאות היו מלאכותיות. פניתי לשני עסקים קטנים - שונים מאוד זה מזה - שהסכימו לבצע הערכת ImmuniWeb, בתנאי שהם קיבלו את ההזדמנות לראות את הדוחות שהתקבלו ולתקן את הבעיות. באתר הראשון משתמשים יכולים לקנות ספרים, לצפות בסרטונים ולהשתתף בפורום קהילתי. האתר השני התבסס על וורדפרס והציג פרסומי מאמרים, קטעי וידיאו ופודקאסטים.
פורטל ImmuniWeb
פורטל ImmuniWeb הוא מרכז כל התקשורת עם צוות ההערכה. נרשמתי לחשבון, ציינתי את כתובת האתר של האתר וספקתי מידע בסיסי. אמנם היה קטע לאפשרויות מתקדמות (כמו למשל לומר אם חלקים מהאתר מוסתרים מאחורי בקשת כניסה או לא), אבל לא טרחתי עם כל אלה: רק פרטי הקשר שלי, פרטי התשלום ובחירת תאריך בלוח השנה כדי להתחיל בהערכה. זה כזה קל.
בסך הכל, הפורטל נראה מיושן מעט ואינו חלקלק כמו שאתה מצפה שיישומי אינטרנט יהיו, אך מצד שני, קל לניווט ועושה בדיוק את העבודה שאליו נועד. ראיתי את מצב ההערכה וקיבלתי התראות כשצוות ImmuniWeb שלח הודעה. יכולתי לתזמן הערכות מרובות ולעקוב אחר כל אחת מהן בנפרד. יכולתי גם להוריד את הדוחות לאחר השלמתם.
היה מוזר אחד מוזר שהכעיס אותי. התפריט הנפתח של הקידומת, שהיה שדה חובה, לא סיפק אפשרות עבור "גב." סתם מיס או גברת. אז במשך כל הביקורת הייתי "פרופ '"
הערכת ImmuniWeb
קיבלתי הודעה בדוא"ל כאשר המבחן התחיל, ושוב כשהוא הסתיים. הוזהרתי כי האתר יצטרך לאפשר גישה לקומץ כתובות IP. נדרש יום או יומיים עד שהדיווח היה מוכן. הערכתי את התקשורת הרגילה.
לצורך ההערכה הראשונה האתר המדובר (אתר חנות הספרים) התארח באמזון EC2, וסורק ImmuniWeb לא הצליח לראות אותו. יכולות להיות לכך מספר סיבות, כמו מערכת גילוי פריצות החוסמת גישה או מערכת אחרת המגבילה סריקה אוטומטית. הצוות עבר להערכה ידנית וסיים מבלי שאצטרך לעשות דבר. הסורק לא התקשה לראות את האתר השני (הבלוג של וורדפרס), גם הוא בפלטפורמת ענן.
מנהלי האתר אמרו כי לא היו בעיות או בעיות בביצועי האתר במהלך ההערכה. זה דבר טוב מאוד מכיוון שהדבר האחרון שעסק רוצה זה להתמודד עם השבתה.
תוצאות הדו"ח
כשהדיווחים היו מוכנים הורדתי אותם כדי לראות כיצד האתרים עברו. לאף אחד מהאתרים לא היו פגמים קריטיים, וזה היה הקלה, אך לשניהם היו כמה סוגיות בעלות עדיפות בינונית ונמוכה. עבור תחומים מסוימים, ההערכה הרגישה מעט גבוהה מדי מכיוון שהדוח לא כלל ניתוח מעמיק יותר, כגון פגיעות של התקפות כוח. בסך הכל, הדוח כיסה הרבה את היסודות, אך חלק מהכניסות הבודדות הרגישו מעט ניטיקי ומכה או פספוס עבור הארגון. היו דברים שסומנו כבעיות שברור שלא נלקחו בחשבון בהקשר של העסק או ארכיטקטורת האתר.
לדוגמה, באתר חנות הספרים היו רכיבי מסחר אלקטרוני וגם אלמנטים של ויקי, והדו"ח העמיד את האתר שוב ושוב בגלל העובדה שכל אחד יכול ליצור דף - התכונה הבסיסית ביותר של וויקי. היה נחמד אם הייתה דרך לציין דברים מסוימים שיש להפסיק מהדו"ח, מה גם שהאתר נסרק ידנית. במקום זאת, ImmuniWeb נקטה בגישה אחת שמתאימה לכל גודל, והיא לא לקחה בחשבון כי היכולת ליצור דף הייתה תכונה ולא בעיה, במקרה זה. אני דואג שלעסקים קטנים לא יהיה סבלנות לנווט את הדו"ח המחפש בעיות בפועל אם הם מתמודדים עם ערכים שאינם תואמים את מקרה השימוש בהם.
"סוגיה" נוספת הייתה העובדה ששני האתרים שסרקו הציגו כמה כתובות דוא"ל בדפים שלהם, כמו למשל עבור צוות השיווק, המכירות ואפילו המנכ"ל. הסורק לא הבחין בין כתובת דוא"ל כללית שלקוחות צריכים ליצור קשר עם העסק לבין סוגיית נתונים פוטנציאלית. שוב, הרבה מה לבקש ממערכת אוטומטית, אבל זה כן מצריך דיווח צפוף.
מצד שני, עבור אתר וורדפרס, ImmuniWeb זיהתה את האתר, מבוסס על וורדפרס, עם פגיעות בהזרקת SQL ברמה גבוהה. מרבית פלטפורמות הערכת הפגיעות מספקות את מזהה ה- CVE (Common Vulnerabilities and Exposures) וקישור לתיאור הבעיה, ומשאירים למנהל האתר להבין היכן הבעיה ואיך לתקן אותה. לא ImmuniWeb. הדוח נתן הוראות ברורות מאוד למנהל WordPress: עדכן את התוסף AdRotate. זה בדיוק סוג הפירוט המתוקן של מנהלים שאינם טכניים זקוקים לו, ו- ImmuniWeb הצליחה לספק מידע זה.
בדוחות יש גם מידע על תצורת ה- SSL של האתר וכן האם הפולשים שלטו בתחומים נשמעים דומים. עבור עסקים מסוימים, הפרט האחרון מועיל לדעת.
צעד טוב קדימה
עבור רוב העסקים, ImmuniWeb הוא התחלה טובה. אם אין לך מושג איך נראית תמונת האבטחה שלך שווה לקבל את ההערכה הזו - במיוחד במחיר שווה לכל נפש של 639 $. אמנם תצטרך עדיין לבצע שיחות שיפוטיות לגבי חלקים מהדוח הרלוונטיים לעסק שלך, אך המידע שניתן הוא קל לקריאה ולהבנה, שמנהלי מערכת שאינם טכניים יעריכו.
