Webbplatsangrepp kan gå obemärkt i flera månader eftersom hackare stjäl konfidentiell information. De ekonomiska förlusterna och omprövningsskadorna från ett potentiellt åsidosätt är ansträngande organisationer för att skydda sina webbapplikationer. Här får vi reda på Ilia Kolochenko, VD för High Tech Bridge och Chief Architect of ImmuniWeb, hur du håller din webbplats säker 2015.

  • Hur säkerhetshotet landskapet formas fram 2015

TechRadar Pro: Vilka verktyg är organisationer som vänder sig till för att skydda sina webbplatser?

Ilia Kolochenko: När säkerhetsbrott fyller nyheten med berättelser om stulna kunddata och webbplatsfel, vänder organisationer sig till automatiserade skannrar. Och denna överreliance på skannrar lämnar organisationer i en utsatt position. Tyvärr finns det fortfarande en vanlig missuppfattning att helautomatiserad sårbarhetssökning av webbsidor ger samma resultat som manuell penetrationstestning av webbapplikationer..

TRP: Varför behöver vi fortfarande manuell penetrationstestning?

IK: Behovet av mänskliga färdigheter demonstrerades nyligen av en stor ny analys (rapporterad av Ars Technica) som utförs av universiteten i KU Leuven (Belgien) och Stony Brook (New York).

Forskarna testade webbplatser "skyddade" med olika förtroendeförseglingar som tillhandahålls av säkerhetsleverantörer som levererar automatiserade sårbarhets- och malware-skanningstjänster - välrenommerade företag inklusive Symantec, McAfee, Trust-Guard och Qualys.

Forskningen visade "att förseglingsleverantörer utför mycket dåligt när det gäller att upptäcka sårbarheter på de webbplatser som de certifierar." Detta är en svaghet som är inneboende i nästan alla helautomatiserade lösningar - de kan bara gå så långt innan deras produktion behöver analyseras av en kvalificerad pentester (penetrationstester).

TRP: Berätta för oss hur sårbarhetssökning fungerar?

IK: Sårbarhetsskanning kan vara mycket billig eller till och med fri, medan penetrationstestning kan anses vara ganska dyr och tidskrävande att planera och utföra. Penetrationstestning ger emellertid betydande mervärde i jämförelse med alla typer av skadlig kod eller sårbarhetssökning som för närvarande finns på webbsäkerhetsmarknaden.

Faktum är att i dag nästan alla kan göra sårbarhetsscanning: du behöver bara hämta några av ett antal sårbarhetsskannrar - några ganska bra - och köra dem mot en webbplats. De kommer att generera en automatisk rapport som ger många faktiska och potentiella sårbarheter och svagheter - och förmodligen också ett antal falska positioner.

Falska positiva är tidskrävande - du måste verifiera varje enskilt problem som skannern upptäcker. Mycket värre är falsk-negativ - befintliga sårbarheter som automatiserade lösningar saknar, vilket gör system sårbara och ger webbplats administratörer en falsk känsla av säkerhet. Vissa automatiserade lösningar kan ge en medelrisk till 403 eller 500 felsidor som returneras av webbservern (det är inte sårbarheter, bara fel sidor).

Slutligen börjar webbplatsadministratörer, som drabbas av stora arbetsbelastningar, börja ignorera alla risker för medellång risk från dagliga skanningsrapporter. Som ett resultat saknar de viktig information om verkliga sårbarheter som förtjänar deras uppmärksamhet.

TRP: Vilka företag ska använda sårbarhetsskannrar?

IK: Säkerhetsskannrar är förmodligen ett måste verktyg för stora företag som utför en del säkerhetsprov internt, med inriktning på inrikes säkerhetspersonal som kan verifiera och slutföra resultaten av en automatisk skanning. Automatiserad sårbarhetsscanning kan också vara mycket användbar för att hålla interna team uppdaterade om den allmänna situationen för sina webbapplikationer.

Däremot kan automatiserade lösningar och säkerhetsskannrar inte ersätta ett penetrationstest. De är inte heller lämpliga för små och medelstora företag, inte heller för projekt där företag behöver både snabbhet och högsta kvalitet på säkerhetsprovning.

TRP: Vilka är fördelarna med manuell penetrationstestning?

IK: Sann pentesting startar varifrån en sårbarhetssökning avslutas. En pentester kommer att ta rapporterna från förmodligen flera olika skanningar och använda sina personliga färdigheter och erfarenheter för att utplåna de falska positiven och identifiera missade sårbarheter.

I synnerhet är han sannolikt att känna igen svagheterna i affärslogiken, vilka skannrar inte effektivt kan upptäcka, och se hur annars mindre tekniska brister kan knyts samman för att åstadkomma ett stort brott. Ett nytt exempel på applikationslogikfel är Alibabas hemsida, där en liten bugg exponerade de mest känsliga uppgifterna för miljontals användare. Ett annat nytt exempel är en liknande sårbarhet på Delta Airlines webbplats, där URL-manipulering tillåter åtkomst till någons boardingkort.

Ett annat exempel på det viktiga behovet av en djup IT- och säkerhetskompetens kommer med en scanner upptäckt av en sårbarhet. Säkerheten är förmodligen redan känd för säkerhetsgruppen och förblir oförändrad för en "bra anledning" - i vissa fall kan en korrigeringsfil för sårbarheten hota funktionaliteten för en kritisk affärsprocess. Det är ett vanligt fall i stora företag, där många kritiska produkter utvecklas internt eller outsourcats och lider av olika kompatibilitetsproblem som förhindrar att systemen hålls uppdaterade.

I det här fallet kommer en skanner förmodligen bara generera generisk information om en patchteknik. En kvalificerad pentester kan emellertid förstå kundens affärsbehov och processer och förmodligen föreslå en lämplig lösning som inte kommer att påverka kontinuiteten i verksamheten, och om inte fixa sårbarheten, åtminstone hindra utnyttjandet (genom att lägga till ytterligare regler till webbapplikationsbrandväggen till exempel).

TRP: Hur exakta är sårbarhetsskannrar?

IK: Enligt vår erfarenhet kan de flesta skannrar förmodligen bara hitta cirka 40-60% av sårbarheterna i webbapplikationer. Det är inte ett problem med skanningstekniken - en skanner kan troligen utvecklas för en viss applikation, plattform eller ram som kan hitta 99% av de sårbarheter som är specifika för applikationen.

Men med tanke på den stora variationen av webbteknologi som finns idag är det omöjligt att utveckla en universell scanner som effektivt kan upptäcka sårbarheter i alla typer av webbapplikationer. Mänsklig expertis krävs här.

TRP: Vilka gränser finns för webbpenetrationstest?

IK: Web penetrationstest har också sina gränser. Till exempel kan de inte hindra en webbplatsadministrations-dator från att hackas, i syfte att stjäla FTP- eller SSH-referenser för att infektera webbplatsen med skadlig kod senare. Malware kan dock identifieras väldigt snabbt med daglig skanning av skadlig kod.

Säkerhetsskanning ska användas för kontinuerlig övervakning av säkerhet och integritet, medan penetrationstestning ska användas för att korrekt identifiera alla befintliga sårbarheter och svagheter och utveckla tillförlitliga korrigeringar för dem. Det är där kontinuerlig daglig övervakning kombinerad med kvartalspenetrationstestning är det mest effektiva och effektiva sättet att hålla en webbplats säker.

TRP: Var ser du framtiden för webbsäkerhetsbedömning?

IK: Som en lösning på klyftan mellan automatiserad och manuell säkerhetstest har High-Tech Bridge lanserat ImmuniWeb SaaS i år - en hybrid metod för webbsäkerhetsprovning.

ImmuniWeb kombinerar manuell och automatiserad webbsäkerhetsprovning som passar alla typer av företag, oavsett storlek, geografiskt läge eller interna färdigheter. Den höga hastigheten och storskalan av automatiserad test kombinerad med mänsklig kompetens och erfarenhet avkänner exakt de mest komplexa säkerhetsbristerna som saknas av skannrar och andra automatiserade lösningar.

Dessutom ger ImmuniWeb-revisorer våra kunder personliga lösningar som passar deras affärs- och tekniska behov.