geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By Lakshman Sharma in La Seguridad  |  Última actualización: 8 de diciembre de 2020
Comparte en:

Mejore la seguridad de las aplicaciones web con Detectify Asset Monitoring

Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Cómo se asegura de que su aplicación e infraestructura estén a salvo de vulnerabilidades de seguridad?

Detectify ofrece un conjunto completo de soluciones de monitoreo e inventario de activos que incluyen escaneo de vulnerabilidades, descubrimiento de host y huellas digitales de software. Su uso podría ayudar a evitar sorpresas desagradables, como hosts desconocidos que presentan vulnerabilidades o subdominios que pueden ser fácilmente secuestrados.

Muchas cosas pueden salir mal y un atacante puede aprovecharlas. Algunos comunes son:

  • Mantener abiertos los puertos innecesarios
  • Exponer subdominios inseguros, archivos confidenciales, credenciales
  • Acuerdo .git accesible
  • Principales vulnerabilidades potenciales de OWASP como XSS, SSRF, RCE

Puede debatir que puedo ejecutar manualmente el escáner de puertos, buscar subdominio, prueba de vulnerabilidades, etc. Esto es bueno si lo hace de vez en cuando, pero llevará mucho tiempo y no será rentable cuando tenga que hacerlo con frecuencia.

Entonces, ¿cuál es la solución?

Ir por Detectar la supervisión de activos, que monitorea los activos de su aplicación web y realiza un escaneo regular de los controles mencionados y muchos otros para mantener su negocio en línea seguro

  • Detectify aloja su propia comunidad privada de piratas informáticos éticos para la investigación de vulnerabilidades de crowdsourcing, por lo que le brinda alertas desde la perspectiva de un atacante real.
  • Otras herramientas se basan en firmas y pruebas de versión, lo que se parece más al cumplimiento que a la seguridad real. Los piratas informáticos Detectify proporcionan las cargas útiles reales que se utilizan para crear las pruebas de seguridad, lo que proporciona un conjunto único de pruebas que no se ve en otros productos del mercado.
  • ¿El resultado? Una forma más segura de realizar pruebas de seguridad que solo le brinda resultados que pueden verificarse
  • Hallazgos de seguridad que son realmente interesantes de corregir.

En su blog, mencionan que el tiempo de desarrollo de la prueba de Monitoreo de Activos se ha reducido a tan solo 25 minutos desde el hacker hasta el lanzamiento.

¿Suena interesante?

Vamos a ver cómo funciona.

Para comenzar a trabajar con Detectify Asset Monitoring, el primer paso es verificar que usted es el propietario del dominio que va a monitorear o que está autorizado para realizar un análisis de seguridad. Este es un paso necesario que toma Detectify para garantizar que la información confidencial que revela no termine en las manos equivocadas.

Podemos realizar la verificación del dominio de varias formas: cargando un .txt archivo al directorio raíz de su dominio, con Google Analytics, a través de un registro DNS o con una metaetiqueta en una página web. También existe la opción de verificación asistida si ninguno de los métodos de autoservicio funciona para usted.

Creating a scan profile

El segundo paso para configurar Detectify es crear un perfil de escaneo, que puede asociarse con cualquier dominio, subdominio o dirección IP de su sitio con servicios HTTP o HTTPS ejecutándose en él.

Después de configurar un perfil de escaneo, puede configurarlo con diferentes opciones.

Por ejemplo:, puede tener dos perfiles asociados con el mismo dominio pero con diferentes credenciales. De esa forma, puede realizar dos análisis diferentes en el mismo servidor y comparar los resultados.

Una vez que su perfil de escaneo esté configurado, estará listo para escanear, lo cual puede hacer simplemente presionando el botón Iniciar escaneo al lado del perfil de escaneo que desea utilizar. El tablero cambiará para mostrar que hay un escaneo en progreso.

El tiempo para realizar el análisis depende del volumen del contenido del sitio. Si el volumen es bastante grande, el análisis puede tardar horas y es posible que note una ligera degradación del rendimiento del sitio mientras se realiza el análisis. Por eso, mi consejo es realizar análisis cuando su sitio esté menos ocupado.

Scan reports

Cuando Detectify termine de escanear su sitio, recibirá un correo electrónico indicándolo. En ese correo electrónico, le informará el tiempo que tomó realizar el análisis, la cantidad de problemas encontrados agrupados por su gravedad y una puntuación de amenaza general que muestra qué tan bueno o malo es el sitio en términos de seguridad.

Puede ver qué URL se rastrearon durante el análisis si accede al informe de análisis más reciente y hace clic en el elemento "URL rastreadas" en la lista de resultados de información. La sección Detalles muestra cuántas URL intentó acceder el rastreador durante el análisis y cuántas de ellas se identificaron como únicas.

Hay un hipervínculo en la parte inferior de la página para descargar un archivo CSV que contiene todas las URL rastreadas y el código de estado de cada una. Puede revisar esta lista para asegurarse de que se hayan visitado todas las partes importantes de su sitio.

Para planificar la remediación y obtener resultados más precisos en análisis futuros, Detectify le permite etiquetar cada hallazgo como "Fijo", "Riesgo aceptado" o "Falso positivo". Si etiqueta un hallazgo como "Fijo", el escáner usará esa misma etiqueta en informes futuros, por lo que no tendrá que volver a tratar con él para corregirlo. Un "riesgo aceptado" es algo que no desea que se informe en cada análisis, mientras que "falso positivo" es un hallazgo que puede parecerse a una vulnerabilidad, aunque no lo es.

¡Ah! muchos hallazgos para arreglar que nunca pensé.

Detectify ofrece muchas páginas y vistas diferentes para ver los resultados del escaneo. La vista "Todas las pruebas" le permite ver todas las vulnerabilidades que descubrió el análisis. Si está familiarizado con el OWASP clasificación, puede consultar la vista OWASP para ver qué tan vulnerable es su sitio a las 10 principales vulnerabilidades.

Para ajustar los análisis futuros, puede usar las opciones de listas blancas / negras de Detectify para agregar áreas de su sitio que podrían estar ocultas porque ningún enlace apunta a ellas. O puede rechazar las rutas en las que no desea que entre el rastreador.

The asset inventory

La página de inventario de activos de Detectify muestra una lista de activos raíz, como dominios agregados o direcciones IP, con mucha información útil que lo ayudará a proteger sus inversiones en TI. Junto a cada activo, un icono azul o gris indica si la supervisión de activos está activada o desactivada.

Puede hacer clic en cualquiera de los activos del inventario para obtener una descripción general del mismo. Desde allí, puede examinar subdominios, perfiles de escaneo, tecnologías de huellas digitales, hallazgos de monitoreo de activos, configuraciones de activos y mucho más.

Asset Monitoring findings

Agrupa los resultados encontrados en tres categorías según su gravedad: high, mediano y bajo.

Los hallazgos de alto nivel reflejan principalmente problemas en los que la información confidencial (por ejemplo, las credenciales o contraseñas de los clientes) se expone al público o es potencialmente explotable.

Los hallazgos de nivel medio muestran situaciones en las que expone alguna información. Aunque esa exposición no sea dañina en sí misma, un hacker podría aprovecharla combinándola con otra información.

Finalmente, los hallazgos de bajo nivel muestran subdominios que potencialmente podrían ser asumidos y deben verificarse para verificar su propiedad.

Detectify proporciona una base de conocimientos con muchas correcciones y sugerencias de remediación para ayudarlo a lidiar con los hallazgos encontrados durante el escaneo. Una vez que tome medidas para remediar los problemas, puede ejecutar un segundo análisis para verificar si los problemas se han remediado de manera efectiva. Las opciones de exportación le permiten crear archivos PDF, XML o JSON con informes de resultados para enviarlos a terceros o servicios como Trello o JIRA.

Aprovechar al máximo Detectify

La guía de mejores prácticas de Detectify recomienda agregar un nombre de dominio sin subdominios para obtener una descripción general de todo su sitio si no es demasiado grande. Pero hay un límite de tiempo de 9 horas para un escaneo completo, después de lo cual el escáner pasa a la siguiente fase del proceso. Por esa razón, podría ser una buena idea dividir su dominio en perfiles de escaneo más pequeños.

Su primer escaneo puede mostrarle que algunos activos tienen más vulnerabilidades que otros. Esa es otra razón, además de la duración del escaneo, para comenzar a dividir su dominio. Debe identificar los subdominios más críticos y crear un perfil de escaneo para cada uno de ellos.

Preste atención a la lista "Hosts descubiertos", ya que puede mostrarle algunos hallazgos inesperados. Por ejemplo, sistemas que no sabías que tenías. Esta lista es útil para identificar las aplicaciones más importantes que merecen un escaneo más profundo y, por lo tanto, un perfil de escaneo individual.

Detectify sugiere que es mejor definir alcances más pequeños para cada perfil de escaneo porque puede obtener hallazgos más precisos y consistentes. También es una buena idea desglosar los alcances manteniendo juntas tecnologías o marcos similares dentro de cada perfil. De esta manera, el escáner podrá ejecutar pruebas más relevantes para cada perfil de escaneo.

Conclusión

Inventario y seguimiento de activos son cruciales para cualquier tamaño y sitio web, incluido el comercio electrónico, SaaS, minorista, financiero y mercado. No deje ningún activo desatendido; Prueba el prueba durante 2 semanas para ver cómo puede ayudarlo a encontrar lagunas para mejorar la seguridad de las aplicaciones web.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder