Video: ImmuniWeb® AI Application Security Testing Platform Overview (November 2024)
Als uw bedrijf afhankelijk is van uw website - zoals de meeste bedrijven - bent u het aan uzelf verplicht om ervoor te zorgen dat het niet vol zit met beveiligingslekken. ImmuniWeb, een codescanner van High-Tech Bridge, biedt kleine bedrijven een grondige kwetsbaarheidsbeoordeling om siteproblemen aan het licht te brengen voor een betaalbare prijs van $ 639 (direct).
Er zijn veel redenen om websites te targeten. Cybercriminelen kunnen proberen uw site te corrumperen met malware die uw sitebezoekers zou infecteren en hun inloggegevens voor internetbankieren zou stelen. Misschien houdt iemand niet van uw bedrijf en wilt u uw site beschadigen. Misschien zijn de aanvallers op zoek naar de waardevolle gegevens die in uw database zijn opgeslagen en is de website een gemakkelijke manier om binnen te komen. Hoe dan ook, websites worden steeds vaker aangevallen en bedrijven moeten ervoor zorgen dat ongepaarde beveiligingsfouten en configuratiefouten het niet gemakkelijk maken voor de slechten jongens om binnen te wandelen.
De beoordelaars van High-Tech Bridge gebruiken de ImmuniWeb-scanner om een geautomatiseerde of handmatige scan uit te voeren. Ze bieden alle resultaten in een uitgebreid rapport, samen met aanbevelingen voor het oplossen van problemen die ze ontdekken. De rapporten zijn gemakkelijk te lezen en redelijk gedetailleerd. Afhankelijk van de aard van uw bedrijf, kan het eindrapport van ImmuniWeb een beetje raar aanvoelen, maar over het algemeen is het verkrijgen van die nulmeting pijnloos en nuttig. Veel kleine bedrijven zijn van mening dat kwetsbaarheidsbeoordeling iets is waar de "grote jongens" zich zorgen over moeten maken, maar ImmuniWeb laat zien dat de kleinere organisaties het zich ook kunnen veroorloven om beveiliging serieus te nemen.
Het hele punt van ImmuniWeb is om naar een productiesite te kijken. Mijn cobbling samen een testsite zou niet echt logisch zijn omdat de site niet robuust genoeg zou zijn en de resultaten kunstmatig zouden zijn. Ik nam contact op met twee kleine bedrijven - heel verschillend van elkaar - die ermee instemden een ImmuniWeb-evaluatie te laten uitvoeren, op voorwaarde dat zij de gelegenheid kregen de resulterende rapporten te bekijken en de problemen op te lossen. Op de eerste site konden gebruikers boeken kopen, video's bekijken en deelnemen aan een communityforum. De tweede site was gebaseerd op WordPress en bevatte artikelberichten, videoclips en podcasts.
ImmuniWeb-portal
Het ImmuniWeb-portaal is het centrum van alle communicatie met het beoordelingsteam. Ik heb me aangemeld voor een account, de URL van de site opgegeven en basisinformatie verstrekt. Hoewel er een sectie was voor geavanceerde opties (zoals zeggen of delen van de site verborgen waren achter een aanmeldingsprompt), nam ik daar niets mee in: alleen mijn contactgegevens, de betalingsinformatie en het selecteren van een datum op de kalender om met de beoordeling te beginnen. Het is zo makkelijk.
Over het algemeen ziet de portal er een beetje gedateerd uit en is hij niet zo glad als je verwacht van webapplicaties, maar aan de andere kant is hij gemakkelijk te navigeren en doet hij precies wat hij moet doen. Ik zag de status van de beoordeling en kreeg meldingen toen het ImmuniWeb-team een bericht stuurde. Ik kon meerdere beoordelingen plannen en elk afzonderlijk bijhouden. Ik kon de rapporten ook downloaden zodra ze waren voltooid.
Er was een vreemde gril die me irriteerde. Het vervolgkeuzemenu voorvoegsel, dat een verplicht veld was, bood geen optie voor 'Mevrouw' Gewoon mevrouw of mevrouw. Dus, voor de duur van de beoordeling was ik een "Prof."
De ImmuniWeb-beoordeling
Ik kreeg een e-mailmelding wanneer de test van start ging en nogmaals toen deze was voltooid. Ik werd ook gewaarschuwd dat de site toegang zou moeten geven voor een handvol IP-adressen. Het duurde een dag of twee voordat het rapport klaar was. Ik waardeerde de regelmatige communicatie.
Voor de eerste beoordeling werd de site in kwestie (de site van de boekhandel) gehost op Amazon EC2 en kon de ImmuniWeb Scanner deze niet zien. Daar kunnen meerdere redenen voor zijn, zoals een inbraakdetectiesysteem dat de toegang blokkeert, of een ander systeem dat automatisch scannen beperkt. Het team schakelde over naar een handmatige beoordeling en eindigde zonder dat ik iets hoefde te doen. De scanner had geen moeite om de tweede site (het WordPress-blog) te zien, ook op een cloudplatform.
De sitebeheerders zeiden dat er tijdens de beoordeling geen blips of problemen met de prestaties van de site waren. Dit is een zeer goede zaak, want het laatste wat een bedrijf wil is om te gaan met downtime.
De rapportresultaten
Toen de rapporten klaar waren, heb ik ze gedownload om te zien hoe het met de sites ging. Geen van de sites had kritieke tekortkomingen, wat een opluchting was, maar beide hadden een aantal problemen met gemiddelde en lage prioriteit. Voor sommige gebieden voelde de beoordeling een beetje te hoog, omdat het rapport geen diepere analyse bevatte, zoals de kwetsbaarheid voor brute-force aanvallen. Over het algemeen bevatte het rapport veel van de basisprincipes, maar sommige individuele inzendingen voelden een beetje nitpicky en een hit of miss voor de organisatie. Er werden dingen gemarkeerd als problemen die duidelijk niet werden beschouwd in de context van het bedrijf of de site-architectuur.
De boekhandelsite had bijvoorbeeld zowel e-commerce- als wiki-elementen en het rapport ging herhaaldelijk over de site vanwege het feit dat iedereen een pagina kon maken - het meest elementaire kenmerk van een wiki. Het zou leuk geweest zijn als er een manier was om aan te geven dat bepaalde dingen uit het rapport zouden moeten worden weggelaten, vooral omdat de site handmatig was gescand. In plaats daarvan heeft ImmuniWeb een one-size-fits-all-aanpak gevolgd en heeft het geen rekening gehouden met het feit dat een pagina maken een functie was, geen probleem, in dit geval. Ik maak me zorgen dat kleine bedrijven niet het geduld hebben om het rapport te doorzoeken op zoek naar echte problemen als ze worden geconfronteerd met vermeldingen die niet overeenkomen met hun gebruik.
Een ander "probleem" was het feit dat beide gescande sites enkele e-mailadressen op hun pagina's hadden weergegeven, zoals voor het marketingteam, de verkoop en zelfs de CEO. De scanner maakte geen onderscheid tussen een generiek e-mailadres dat klanten nodig hebben om contact op te nemen met het bedrijf en een potentieel gegevensprobleem. Nogmaals, het is veel gevraagd van een geautomatiseerd systeem, maar het zorgt wel voor een druk rapport.
Aan de andere kant, voor de WordPress-site, identificeerde ImmuniWeb dat de site op basis van WordPress een hoog beveiligingslek met betrekking tot SQL-injectie had. De meeste platforms voor beoordeling van kwetsbaarheden bieden de CVE-code (Common Vulnerabilities and Exposures) en een link naar een beschrijving van het probleem, en laten het aan de sitebeheerder over om uit te zoeken waar het probleem is en hoe dit kan worden opgelost. Niet ImmuniWeb. Het rapport gaf zeer duidelijke instructies voor de WordPress-beheerder: werk de AdRotate-plug-in bij. Dit is precies het soort saneringsdetail dat niet-technische beheerders nodig hebben en ImmuniWeb kon die informatie verstrekken.
De rapporten bevatten ook informatie over de SSL-configuratie van de site en of krakers soortgelijke klinkende domeinen beheersten. Voor sommige bedrijven is dit laatste detail handig om te weten.
Een goede stap vooruit
Voor de meeste bedrijven is ImmuniWeb een goed begin. Als u geen idee hebt hoe uw beveiligingsfoto eruitziet, is het de moeite waard om die beoordeling te krijgen - vooral tegen de bij uitstek betaalbare prijs van $ 639. Hoewel u nog steeds een oordeel moet vellen over welke delen van het rapport relevant zijn voor uw bedrijf, is de verstrekte informatie gemakkelijk te lezen en te begrijpen, wat niet-technische beheerders zullen waarderen.
