Удалит ли Acunetix уязвимости из веб-приложения так же, как это делает антивирус?

Уязвимости безопасности веб-приложений очень отличаются от вредоносных программ. Это программные ошибки, внесённые самими создателями приложений, а не злоумышленниками. Поэтому единственный способ устранить эту проблему — чтобы разработчик исправил такие ошибки.

Если уязвимость находится в пользовательском приложении, написанном вашими разработчиками специально для вашего бизнеса, только вы можете исправить это. Если уязвимость находится в стороннем приложении, например, плагине CMS, вы можете дождаться, пока создатели стороннего приложения исправят её, или ваши разработчики могут временно исправить её сами, пока не выйдет безопасная версия.

Могу ли я исправить уязвимости веб-приложений, установив патч для ПО, как в случае уязвимостей, обнаруженных моим сетевым сканером?

Если все ваши веб-приложения представляют собой стороннее программное обеспечение, например, WordPress или Magento, вы сможете исправить их после того, как Acunetix обнаружит уязвимость (если исправление доступно). Однако Acunetix может находить даже уязвимости, о которых создатели программного обеспечения не знают.

Если вы создаёте свои собственные веб-приложения, эти приложения нельзя просто исправить. Вашим разработчикам нужно будет понять, как правильно исправить их. Acunetix поможет разработчикам, предоставив ссылки на ресурсы, которые предоставляют информацию и обучения по устранению типичных уязвимостей. Вы также можете использовать Acunetix, чтобы позже перепроверить, были ли исправлены уязвимости.

Сможет ли Acunetix сканировать моё веб-приложение, развёрнутое в Docker? А что с Kubernetes? Будет ли работать с nginx? Что делать, если моё приложение написано на Ruby?

Простой ответ на этот вопрос: если к вашему приложению можно получить доступ с помощью веб-браузера, Acunetix может его просканировать. Все, что вам нужно, это указать URL-адрес (например, http://www.example.com/).

Неважно, на каком языке вы написали приложение. Неважно, написано ли это приложение вашими разработчиками или сторонним. Не имеет значения, на каком типе сервера установлено приложение (например, Apache, nginx, IIS или другие). Неважно, используете ли вы контейнеры или нет.

Но это ещё не все. Acunetix может сканировать все, что доступно, с использованием интерфейсных веб-технологий. Это означает, что вы также можете использовать Acunetix для сканирования API, если вы предоставите ему список URL-адресов (например, файл Swagger для API).

Мне сказали, что, если я куплю брандмауэр веб-приложений (WAF), этого будет достаточно для безопасности веб-приложений. Зачем мне нужен Acunetix?

Использование брандмауэра веб-приложения для обеспечения безопасности веб-приложений похоже на приём обезболивающего при серьёзном заболевании. Таблетка снимет боль, но проблема со здоровьем останется. Вам необходимо обратиться к врачу, чтобы найти источник медицинской проблемы и устранить её. Acunetix — ваш первый контактный врач в Интернете, а не болеутоляющее, как WAF.

Acunetix поможет вам найти источник проблемы в веб-приложении, чтобы ваши разработчики могли её решить. Если вы просто используете WAF, ваша проблема будет частично замаскирована от злоумышленников. Атаковать ваше веб-приложение будет сложнее, но возможно.

Однако, если у вас уже есть WAF или вы планируете его купить, вы можете правильно использовать его вместе с Acunetix.

Зачем мне вкладывать деньги в Acunetix, если вместо этого я могу использовать решение с открытым исходным кодом?

Решения безопасности веб-приложений с открытым исходным кодом намного проще и гораздо более ограничены, чем профессиональные продукты, такие как Acunetix и его коммерческие конкуренты. Если у вас есть одно веб-приложение, вы можете использовать продукт с открытым исходным кодом для его защиты. Но если у вас есть больше веб-приложений и, что наиболее важно, если вы хотите, чтобы ваша компания росла, вы скоро обнаружите, что приложение с открытым исходным кодом не будет соответствовать вашим потребностям и будет препятствовать вашей безопасности в Интернете.

Я слышал, что сканеры исходного кода - лучший способ защитить веб-приложения. Почему я должен выбрать вместо этого Acunetix?

Сканеры исходного кода, обычно называемые инструментами SAST, используются в несколько иных обстоятельствах, чем сканеры веб-уязвимостей, такие как Acunetix, обычно называемые инструментами DAST.

Инструменты SAST предназначены для использования только в автоматизированных средах, а не для специальной безопасности. Для них требуется полный доступ ко всему исходному коду, что часто невозможно, например, если вы используете сторонние библиотеки. Они не дают полной картины уязвимостей, например, они не обнаруживают никаких неправильных конфигураций веб-серверов. Они также работают только для некоторых языков программирования, поэтому вы не сможете использовать их для всех своих веб-приложений.

У сканеров исходного кода есть только одно преимущество — они помогают быстрее исправить проблемные места, поскольку разработчик получает точное местоположение проблемы безопасности в исходном коде. Однако, если вам нужна такая информация, вы можете использовать модуль AcuSensor IAST, который также предоставит вам номера строк.

Достаточно ли Acunetix для безопасности моего веб-приложения?

В профессиональной среде мы рекомендуем вам не прибегать к одному инструменту, даже к тому, что не уступает Acunetix. Мы рекомендуем вам создать систему безопасности, начав с Acunetix, а затем добавив дополнительные элементы, такие как брандмауэр веб-приложений (WAF), сканер исходного кода (SAST), инструмент анализа состава программного обеспечения (SCA), средство защиты безопасности приложений во время работы (RASP), а также выполнять внешние тесты на проникновение и упражнения красной команды против синих команд, создавать программу вознаграждений и многое другое.

Однако вначале вам все это не нужно. Если вы начнёте с Acunetix, большинство ваших потребностей в безопасности веб-приложений будут удовлетворены. Вам нужны другие решения, просто чтобы приблизиться к совершенству, когда дело касается безопасности веб-приложений.

У меня уже есть программа вознаграждений. Зачем мне нужен Acunetix?

Хотя программы вознаграждений являются отличным элементом стратегии безопасности веб-приложений, они очень неэффективны, если рассматривать их как основной элемент. Вы вообще не контролируете программу вознаграждений. Они не дают никаких гарантий, они не основательны и создают ложное чувство безопасности.

Независимые хакеры в белых шляпах не могут охватить все ваши веб-приложения и все их функции. Они сосредоточатся на уязвимостях, которые легко найти и за которые заплатят. Вы можете даже заплатить большие деньги хакерам, которые использовали Acunetix для поиска уязвимостей для вас.

Из-за воздействия COVID-19 мы сократили бюджет безопасности веб-приложений и вместо этого сосредоточились на безопасности удалённой работы. Стоит ли пересмотреть?

Переход на удалённую работу, вызванный в первую очередь пандемией COVID-19, также означает, что к приложениям требуется удалённый доступ. Таким образом, многие внутренние веб-приложения теперь доступны извне, и ещё больше компаний переносят свои устаревшие приложения в облако. В результате в 2020 году поверхность атаки веб-приложений значительно увеличилась — намного больше, чем в случае безопасности конечных точек или безопасности сети.

Поэтому, если вы хотите переориентировать свои усилия по обеспечению ИТ-безопасности, рекомендуется пересмотреть безопасность веб-приложений как одну из наиболее важных областей. Мы считаем, что он должен быть в верхней части вашего списка приоритетов наряду с обучением пользователей (из-за увеличения количества фишинговых атак). Часто злоумышленнику гораздо проще взломать базу данных вашего веб-приложения, чем пытаться найти уязвимости в конечных устройствах.