¿Cuáles son algunas buenas soluciones de escaneo de seguridad de sitios web?

Lamentablemente, no hay escáneres automatizados para detectar todos los tipos de vulnerabilidades en las aplicaciones web modernas (a menudo escucho menos del 50%).

Confiar solo en soluciones automatizadas está cargado de deficiencias. Los escáneres automatizados pueden exponer las cosas fáciles, pero necesitas inteligencia humana para explorar y revelar vulnerabilidades adicionales.

Dicho esto, puede referirse a esto question (y respuestas) para ver una lista de las populares herramientas automatizadas de evaluación de vulnerabilidad de aplicaciones web.

Consulte la Escáner de seguridad de aplicaciones web de The Web Application Security. Consorcio (WASC). Tenga en cuenta que soy uno de los autores de Watcher , que es un escáner de vulnerabilidades pasivas de código abierto y gratuito en esta lista. Esta lista también incluye las soluciones de escaneo del Software como Servicio.

Tal vez sea útil hablar de un análogo del mundo real.

Digamos que su cliente tiene una tienda de ladrillo y mortero. ¿Cómo verifica que sea seguro?

Primero debes entender el modelo de amenaza. ¿Es un puesto de limonada, una tienda de conveniencia o una joyería? Todos ellos requieren niveles de seguridad muy diferentes.

Luego debe implementar los controles requeridos para ese tipo de propiedad. Para un puesto de limonada, una simple caja registradora con cierre de pesca probablemente sea suficiente.

Finalmente, debe controlar periódicamente que los controles estén funcionando. Las cajas fuertes bancarias están clasificadas en el tiempo esperado para descifrar No hay seguridad perfecta, y algún tipo de monitoreo casi siempre es parte de la seguridad física. En entornos de baja seguridad, esto suele ocurrir cuando el personal está presente al menos periódicamente.

Del mismo modo, no hay una solución única para todos en la seguridad de la aplicación, sin importar lo que el vendedor o el asesor le indiquen lo contrario. Quizás haga una pregunta más específica que incluya detalles como: ¿Estos sitios manejan los pagos? ¿Existen requisitos reglamentarios? Si está manejando datos de tarjetas de crédito, la respuesta es probablemente sí. ¿Hay inicios de sesión? ¿Qué datos de identificación personal están siendo protegidos? etc ...

Salirse un poco del tema de la Seguridad de TI ... una "certificación" es algo muy peligroso desde una perspectiva de responsabilidad. Recomendaría una buena lectura de la letra pequeña en cualquier servicio de "certificación", si es que ofrecen algo que se levantará cuando sea necesario (es decir, si el sitio web es pirateado, puede reclamar o pasar la culpa) Me sorprendería mucho.

Lo que es mucho más fácil para un proveedor ofrecer es una declaración de cuán apropiada es la seguridad en un punto en el tiempo, de modo que eso es lo que suele ocurrir.

En una organización anterior, esperaría cobrar 5-10 veces más si diera algo parecido a una certificación, ya que mis problemas de riesgo y responsabilidad eran significativos.

¿Qué valor tiene la certificación para usted y sus clientes? ¿Podría usted / ellos aceptar un informe que informa sobre la seguridad del sitio web en comparación con sus compañeros?

Es posible que desee consultar esta google list . Muestra una tonelada de los escáneres principales, pero la mayoría de los escáneres automatizados no prueban todas las instancias de exploits. Las pruebas humanas reales son las mejores.

Hay dos tipos de escáneres de seguridad de sitios web basados en web que actualmente conozco:

• Los que buscan defectos de seguridad en el sitio web y en las aplicaciones web
• Los que buscan malware alojado en su sitio web

Qualys proporciona servicios para ambos que son bastante estandarizados, baratos (para lo que obtiene) y de uso común. Ninguno de sus escaneos es muy avanzado y no apuntará a su sitio web o aplicación web como lo haría un pirata informático real. Ningún escáner es capaz de simular un hacker real. Hay algunos bots como Aprox que simularon un ataque de inyección SQL automatizado, pero esta es solo una herramienta en la cadena de herramientas de un adversario moderno.

Hay algunos servicios gratuitos, pero también carecen de brillo:

• Qualys SSL Labs (solo analiza problemas de seguridad SSL / TLS)
• ZeroDayScan (solo analiza algunos defectos de seguridad del sitio web y la aplicación web)
• Desenmascarar parásitos (solo analiza el malware presente en su sitio web)

Si la aplicación web que está intentando probar, evaluar o auditar para detectar vulnerabilidades de aplicaciones web tiene una clasificación de riesgo real (es decir, está bajo ataque, ha estado bajo ataque en el pasado o hay razones para creerlo). que será atacado en el futuro) o clasificación de datos (es decir, atiende datos, o procesa / almacena / transmite datos que son confidenciales por naturaleza), por lo que le conviene ponerse en contacto con una empresa de Consultoría de Seguridad de Aplicaciones. Debería preferir trabajar con socios para los que tiene una buena recomendación y que haya tenido éxito trabajando en el pasado. También es bueno establecer socios comerciales que se adapten a su situación o vertical específica de la industria. La mayoría de las buenas son pequeñas, boutiques de seguridad con 5-15 empleados / contratistas, pero si su empresa es lo suficientemente grande, es posible que desee elegir una empresa más grande para coordinar el trabajo con las empresas más pequeñas.

Si está bajo ataque y necesita ayuda con la gestión de sus incidentes, le sugiero boutiques similares que se especialicen en la respuesta a incidentes y la investigación de malware. Puede encontrar más información sobre lo que ofrecen analistas de la industria como Gartner, Forrester Research, etc., pero también hay boutiques de seguridad más pequeñas que se especializan en el análisis de la industria que sin duda vale la pena consultar.

Acabo de encontrar esta publicación de blog que proporciona una comparación muy detallada de escáneres de aplicaciones web tanto comerciales como de código abierto.