Чи видалить Acunetix вразливості з веб-додатку, так само як це робить антивірус?

Вразливості безпеки веб-додатків дуже відрізняються від шкідливих програм. Це програмні помилки, внесені самими розробниками додатків, а не зловмисниками. Тому єдиний спосіб усунути цю проблему – щоб розробник сам виправив такі помилки.

Якщо вразливість знаходиться в призначеному для користувача додатку, написаному вашими розробниками спеціально для вашого бізнесу, тільки ви можете виправити це. Якщо вразливість знаходиться в сторонньому додатку, наприклад, плагін CMS, ви можете дочекатися, поки розробники додатка виправлять її, або ваші розробники можуть тимчасово виправити її самі, поки не вийде безпечна версія, патч.

Чи можу я виправити вразливості веб-додатків, встановивши патч для ПЗ, як у випадку вразливостей, виявлених моїм мережевим сканером?

Якщо всі ваші веб-додатки являють собою стороннє програмне забезпечення, наприклад, WordPress або Magento, ви зможете виправити їх після того, як Acunetix виявить вразливість (якщо патч доступний). Однак Acunetix може знаходити навіть ті вразливості, про які розробники програмного забезпечення не знають.

Якщо ви створюєте свої власні веб-додатки, їх неможливо просто виправити. Вашим розробникам потрібно буде зрозуміти, як саме виправити їх. Acunetix допоможе розробникам, надавши посилання на ресурси, які надають інформацію і навчання щодо усунення типових вразливостей. Ви також можете використовувати Acunetix, щоб пізніше перевірити ще раз, чи були виправлені вразливості.

Чи зможе Acunetix сканувати мій веб-додаток, розгорнутий в Docker? А що з Kubernetes? Чи буде працювати з nginx? Що робити, якщо мій додаток написано на Ruby?

Проста відповідь на це питання: якщо до вашого додатку можна отримати доступ за допомогою веб-браузера, Acunetix може його просканувати. Все, що вам потрібно, це вказати URL-адресу (наприклад, http://www.example.com/).

Неважливо, якою мовою ви написали додаток. Неважливо, написаний цей додаток вашими розробниками або стороннім. Не має значення, на якому типі сервера встановлено додаток (наприклад, Apache, nginx, IIS або інші). Неважливо, чи використовуєте ви контейнери чи ні.

Але це ще не все. Acunetix може сканувати все, що є, з використанням інтерфейсних веб-технологій. Це означає, що ви також можете використовувати Acunetix для сканування API, якщо ви надасте йому список URL-адрес (наприклад, файл Swagger для API).

Мені сказали, що, якщо я куплю брандмауер веб-додатків (WAF), цього буде достатньо для безпеки веб-додатків. Навіщо мені потрібен Acunetix?

Використання брандмауера веб-додатків для забезпечення безпеки веб-додатків схоже на прийом знеболювального при серйозному захворюванні. Пігулка зніме біль, але проблема зі здоров’ям залишиться. Вам необхідно звернутися до лікаря, щоб знайти джерело медичної проблеми й усунути її. Acunetix – ваш перший контактний лікар в Інтернеті, а не звичайна таблетка, як WAF.

Acunetix допоможе вам знайти джерело проблеми в веб-додатку, щоб ваші розробники могли її вирішити. Якщо ви просто використовуєте WAF, ваша проблема буде частково замаскована від зловмисників. Атакувати ваше веб-додаток буде складніше, але все ще можливо.

Однак, якщо у вас вже є WAF або ви плануєте його купити, ви можете правильно використовувати його разом з Acunetix.

Навіщо мені вкладати гроші в Acunetix, якщо замість цього я можу використовувати рішення з відкритим вихідним кодом?

Рішення безпеки веб-додатків з відкритим вихідним кодом набагато простіші та набагато більш обмежені, ніж професійні продукти, такі як Acunetix і його комерційні конкуренти. Якщо у вас є один веб-додаток, ви можете використовувати продукт з відкритим вихідним кодом для його захисту. Але якщо у вас є більше веб-додатків і, що найбільш важливо, якщо ви хочете, щоб ваша компанія росла, ви скоро побачите, що додаток з відкритим вихідним кодом не буде відповідати вашим потребам і буде перешкоджати вашій безпеці в Інтернеті.

Я чув, що сканери вихідного коду - кращий спосіб захистити веб-додатки. Чому я повинен вибрати замість цього Acunetix?

Сканери вихідного коду, так звані інструментами SAST, використовуються в дещо інших обставинах, ніж сканери веб-вразливостей, такі як Acunetix, так звані інструменти DAST.

Інструменти SAST призначені для використання тільки в автоматизованих середовищах, а не для спеціальної безпеки. Для них потрібен повний доступ до всього вихідного коду, що часто неможливо, наприклад, якщо ви використовуєте сторонні бібліотеки. Вони не дають повної картини вразливостей, наприклад, вони не виявляють жодних неправильних конфігурацій веб-серверів. Вони також працюють тільки для деяких мов програмування, тому ви не зможете використовувати їх для всіх своїх веб-додатків.

У сканерів вихідного коду є тільки одна перевага – вони допомагають швидше виправити наявні проблеми, оскільки розробник отримує точне місце розташування проблеми в вихідному коді. Однак, якщо вам потрібна така інформація, ви можете використовувати модуль AcuSensor IAST, який також надасть вам номери рядків.

Чи достатньо Acunetix для безпеки мого веб-додатка?

У професійному середовищі ми рекомендуємо вам не вдаватися до одного інструменту, навіть до того, що не поступається Acunetix. Ми рекомендуємо вам створити систему безпеки, почавши з Acunetix, а потім додавши додаткові елементи, такі як брандмауер веб-додатків (WAF), сканер вихідного коду (SAST), інструмент аналізу складу програмного забезпечення (SCA), засіб захисту безпеки додатків під час роботи (RASP), а також виконувати зовнішні тести на проникнення, тренування red team проти blue team, створювати програму винагород та багато іншого.

Однак спочатку вам все це не потрібно. Якщо ви почнете з Acunetix, більшість ваших потреб в безпеці веб-додатків будуть закриті. Вам потрібні інші рішення, просто щоб наблизитися до досконалості, коли справа стосується безпеки веб-додатків.

У мене вже є програма винагород. Навіщо мені потрібен Acunetix?

Хоча програми винагород є відмінним елементом стратегії безпеки веб-додатків, вони дуже неефективні, якщо розглядати їх як основний елемент. Ви взагалі не контролюєте програму винагород. Вони не дають ніяких гарантій, вони не обґрунтовані і створюють помилкове відчуття безпеки.

Так звані білі хакери не можуть охопити всі ваші веб-додатки і всі їхні функції. Вони зосередяться на вразливості, які легко знайти і за які заплатять. Ви можете навіть заплатити великі гроші хакерам, які використовували Acunetix для пошуку цих вразливостей для вас.

Через COVID-19 ми скоротили бюджет на безпеку веб-додатків і замість цього зосередилися на безпеці віддаленої роботи. Чи варто переглянути наші витрати?

Перехід на віддалену роботу, викликаний в першу чергу пандемією COVID-19, також означає, що до додатків потрібний віддалений доступ. Таким чином, багато внутрішніх веб-додатків тепер доступні ззовні, і ще більше компаній переносять свої застарілі програми в хмару. В результаті у 2020 році поверхня атаки веб-додатків значно збільшилася – набагато більше, ніж коли мова йде про атаки на кінцеві точки або мережу.

Тому, якщо ви хочете переорієнтувати свої зусилля щодо забезпечення ІТ-безпеки, рекомендується переглянути безпеку веб-додатків як одну з найбільш важливих областей. Ми вважаємо, що саме вона має займати пріоритетне місце поряд з навчанням користувачів (так, як значно збільшилась кількість фішингових атак). Часто зловмисникові набагато простіше зламати базу даних вашого веб-додатку, ніж намагатися знайти вразливості в кінцевих пристроях.