Escáner de vulnerabilidad frente a auditoría de seguridad

Parece que Qualys es probablemente su opción preferida: el análisis de vulnerabilidades continuo y repetido proporciona una manta de seguridad a largo plazo que confortará a sus clientes.

Dicho esto, debe comprender la diferencia entre la exploración de vulnerabilidades y una auditoría de seguridad dirigida (a menudo "pentest").

La exploración de vulnerabilidades garantizará que su infraestructura esté, y se mantenga, segura. Detectará cuándo el software del servidor web que está utilizando de repente se vuelve vulnerable porque alguien lanzó un nuevo ataque contra él. Detectará si su servidor comienza a ofrecer FTP al mundo. Notará si ciertas configuraciones vulnerables conocidas del servidor web aparecen. Lo que no hará es proporcionar una visión real de la seguridad de su aplicación .

Eso es lo que hace un pentest. El pentester verá su aplicación con ojos experimentados y herramientas especializadas, y tratará de descubrir si cometió errores cuando escribió la aplicación que un atacante podría capitalizar. También verán el mismo tipo de cosas de "exploración de vulnerabilidad", pero el verdadero valor agregado es hacer que un humano piense las cosas. Las personas pueden hacer conexiones que las computadoras no pueden, reconocer patrones que indican problemas sutiles.

Por lo tanto, en un mundo ideal, tendrías tu aplicación pentestada al inicio y, de nuevo, cada vez que realices cambios importantes en el código. Y también tendrías que Qualys (o su equivalente, por supuesto) realiza análisis de vulnerabilidad regulares para buscar todas las cosas simples y directas que regularmente muerden a las personas en la parte posterior.

Sin embargo, si solo marca una casilla de verificación, eso es más dinero y esfuerzo del que está buscando gastar. Vaya con el escaneo de vulnerabilidades habitual, obtendrá el sello de aprobación para mostrar a las personas y obtendrá una defensa útil contra la "fruta que cuelga", fácil de encontrar para los atacantes, generalmente fácil de solucionar.

Mucho depende de los datos que te encomiendo. Supongo que valdría mucho y sería digno de proteger.

Estaría buscando que presente evidencia de que ha estado tomando en serio la seguridad a lo largo del desarrollo de su producto, y no solo contrató a alguien para un análisis después del hecho. Debe poder mostrar las políticas de seguridad de la información de su empresa, el nombre de su responsable de seguridad, ofrecer los resultados de las herramientas de análisis de código estático, la documentación de sus prácticas de desarrollo de aplicaciones seguras y, sí, los resultados de las auditorías de seguridad anuales y los servicios de escaneo.

Si la seguridad es realmente importante para usted, se mostrará en sus actividades.

La prueba es solo una parte de su programa de seguridad, pero es una parte importante.

Hay dos enfoques principales para las pruebas de seguridad:

• Herramientas automatizadas : estas son herramientas, como Nessus, Qualys, AppScan y muchas otras. Estos pueden ser ejecutados por un analista de TI que no es un especialista en seguridad, o incluso programado para ejecutarse automáticamente.

• Pruebas manuales : haga que una empresa especializada en pruebas de penetración realice una prueba. Debido a que esto implica un esfuerzo manual, es costoso y, por lo general, solo se realiza ocasionalmente.

Es importante distinguir la seguridad de su aplicación y la seguridad de su infraestructura.

Para pruebas de infraestructura , las herramientas automatizadas son bastante adecuadas; una prueba de penetración manual no agrega mucho valor. La capacidad de ejecutar herramientas automatizadas con frecuencia es una gran ventaja. Las operaciones comerciales más serias tienen una herramienta de prueba de infraestructura que se gestiona internamente.

Para pruebas de aplicaciones , las herramientas automatizadas son solo una parte de la imagen. Hay muchas vulnerabilidades que una prueba de penetración manual puede encontrar que una herramienta automatizada no puede. Las operaciones comerciales más serias tienen pruebas manuales realizadas periódicamente. Para ir más allá de eso, necesita tener una herramienta automatizada que administre internamente y algunas pruebas de penetración.

Hay dos enfoques principales para la prueba de aplicaciones con herramientas automatizadas:

• DAST : pruebas dinámicas de seguridad de la aplicación, es decir, escaneando una aplicación en ejecución
• SAST : pruebas estáticas de seguridad de la aplicación, es decir, análisis del código fuente

En general, SAST es un mejor enfoque, ya que es más exhaustivo y los resultados se presentan de una forma que es más útil para los desarrolladores (por ejemplo, tiene un problema en la línea 163 de myfile.java). Sin embargo, DAST y SAST detectarán conjuntos de problemas ligeramente diferentes y tendrán diferentes tendencias para falsos positivos. Como tal tendencia creciente es la integración DAST y SAST, que es un intento de obtener los dos mejores mundos.

Para los controles del lado del servidor sí, Qualys será suficiente. Sin embargo, en términos de aplicación web no es suficiente.

Además, la prueba de penetración es diferente a la exploración de vulnerabilidades. Durante la exploración de vulnerabilidades, las herramientas automatizadas analizan vulnerabilidades conocidas y cosas basadas en firmas.

Por ejemplo, puede ejecutar el escáner de aplicaciones web y puede encontrar vulnerabilidades XSS si existe. Pero no podrá encontrar problemas de fallas lógicas, como la escalada de privilegios, etc.

O en el lado de la red, no podrá encontrar elementos arquitectónicos con Qualys. pero será capaz de encontrar, problemas de parches faltantes, cosas ssl débiles, vulnerabilidades de la base de servicios, etc.

Como breve para una correcta comprobación, debe separar las herramientas en términos de entorno. Por ejemplo, Qualys para las cosas de la base del servidor periódicamente y Netsparker, Arachni, etc. para el lado de la aplicación web del proyecto. Esos son controles automatizados periódicamente. Además de eso, al menos una vez y con cada cambio importante en el código, debe haber un proceso de prueba de penetración adecuado.

Este método le dará una visión general seria sobre su seguridad.

Espero que ayude

Primero arrojemos algo de luz sobre las diferentes evaluaciones disponibles para las aplicaciones web.

Un análisis realizado con un buen escáner profesional proporciona información valiosa sobre las configuraciones erróneas de la infraestructura (por ejemplo, detecta contraseñas predeterminadas, prueba de vulnerabilidades conocidas), pero no mucho más. Si sigue este camino, asegúrese de que el probador compruebe si hay falsos positivos, ya que los escáneres son muy propensos a ellos.

Una evaluación de vulnerabilidad tiene como objetivo encontrar la mayoría de las vulnerabilidades, incluso con pruebas prácticas. Es una forma de evaluación más efectiva que un simple escaneo, ya que un comprobador real puede encontrar fallas lógicas y no solo "técnicas". Con este tipo de prueba, podrá comprender cuántos problemas tiene la aplicación.

Finalmente, una prueba de penetración tiene como objetivo descubrir el impacto que tienen las posibles vulnerabilidades. Mientras que una VA se centra en encontrar la mayoría de las vulnerabilidades, un objetivo del PT es explotar algunas fallas y mostrar al cliente el daño real que puede hacer un atacante experimentado.

Ya que declaró que su aplicación no contiene datos confidenciales, sugeriría una evaluación de vulnerabilidad . Aunque generalmente es más costoso que un simple escaneo, proporcionará información sobre los errores que podría estar cometiendo durante el desarrollo, por lo que podrá evitarlos en el futuro.