L’empreinte Web de même les petites entreprises peut être incroyablement importante. Plusieurs départements ou leurs spécialistes externalisés fournissent du matériel et du matériel, souvent sur de nouveaux domaines, et cela est diffusé sur de nombreux sites.
Parfois aussi, de toutes nouvelles applications Web sont créées en dehors de la compétence des travailleurs de la cybersécurité. Toute entreprise qui est en affaires depuis seulement quelques années aura plutôt accumulé la bibliothèque de sites, d’applications, d’API et de services Web – plus l’entreprise est grande, plus le volume est important.
Même le les spécialistes chargés de gérer tous ces éléments et ressources en ligne peuvent ne pas être entièrement conscients du niveau de leurs publications. Selon toute probabilité, il y aura des sous-domaines oubliés, des types de sites Web pour les inscriptions à des événements réussies depuis longtemps, des pages de test qui ont été laissées en ligne, même des sites Web de test entiers.
Pour 99% des utilisateurs finaux. En regardant le portefeuille Web de l’organisation, une grande partie de la présence oubliée ou dissimulée sera soit ignorée, soit jamais trébuchée, mais de mauvais acteurs déterminés peuvent pénétrer chaque élément du portefeuille d’une entreprise pour trouver un point d’entrée non sécurisé. Ces biens perdus ou oubliés contiennent souvent un grand nombre de vulnérabilités qui auraient autrement été corrigées dans une application plus critique.
Sécuriser chaque possession peut sembler un travail presque impossible, même pour les entreprises avec un peu d’existence sur le Web. Les équipes de sécurité travaillent normalement de manière réactive, effectuant des correctifs et des corrections au fur et à mesure que les avertissements sont émis. Même si le RSSI pouvait agiter une baguette magique et corriger chaque vulnérabilité JS et chaque route d’injection SQL, la vérité demeure que le code utilisé par les pirates malveillants continue. Les mauvais acteurs tireront des variétés de variations de millions de bibliothèques et d’autres dépendances et utiliseront activement les exploits révélés sur des circonstances plus anciennes qu’ils trouvent dans la nature. En d’autres termes, même si le RSSI a utilisé cette baguette magique pour signaler le problème, dans quelques mois, de nouveaux vecteurs d’attaque s’ouvriront quelque part dans les propriétés en ligne de l’entreprise.
Les organisations auront leurs propres processus pour continuer au-dessus de cette circonstance, allant du statique et manuel (comme l’utilisation régulière de pentesters) à l’automatisé (comme les circonstances Burp Suite s’exécutant en tant que tâches cron). Aucun outil ou technique unique n’offre une précision de 100% sur les exploits réalisables; en réalité, certaines applications automatiques soulèveront tellement de signaux parasites que leur efficacité est douteuse.
Au Tech HQ , nous avons été impressionnés par les métriques présentées par la plate-forme Netsparker , comme en témoignent les résultats de la plateforme sur l’environnement de filtrage WAVSEP (GitHub repo ici). Sa méthode est la même que tout expert cybersec vigoureux adopterait pour garder les possessions Web aussi sûres et confirmées que possible. Il existe une documentation substantielle sur les techniques de la plate-forme ici, mais en bref, elle couvre cinq phases principales pour assurer la sécurité de l’application, comme suit:
Discovery démarre la procédure. Netsparker détecte automatiquement tous les sites Web et applications Web, constitués de ressources oubliées ou désaffectées. Grâce à une prise en charge complète des SSO et des systèmes de gestion des identités, il peut également accéder aux zones nécessitant une authentification. L’araignée rend et analyse l’application complète, y compris les scripts côté client et le contenu généré dynamiquement, même pour les applications complexes d’une seule page (Health spas) avec défense anti-CSRF.
La plate-forme identifie vulnérabilités utilisant un mélange d’approches dynamiques (DAST) et interactives (IAST). Le scanner essaie d’utiliser chaque vulnérabilité en toute sécurité pour prouver qu’il ne s’agit pas d’un positif incorrect et fournir un score de gravité. Cette capacité (que la société appelle l’analyse basée sur la preuve) indique que les groupes de sécurité peuvent s’appuyer en toute confiance sur les résultats de l’outil et éviter de vérifier manuellement chaque vulnérabilité signalée par le scanner. En plus de la preuve d’exploitabilité, les résultats de l’analyse Netsparker incluent tout ce qui est nécessaire pour résoudre le problème (y compris l’endroit précis si le représentant IAST est installé).
Étant donné que les résultats confirmés par le scanner ne peuvent pas Pour être des faux positifs, les organisations efficaces peuvent intégrer Netsparker dans leurs outils de suivi des problèmes et de CI / CD en utilisant une assistance intégrée pour de nombreuses plates-formes standard de l’industrie. Une telle intégration élimine efficacement les embouteillages de contrôle de sécurité qui affligent de nombreuses entreprises. Cette procédure est prise en charge par un nouveau test de réparation automatique via des combinaisons bidirectionnelles pour s’assurer que les vulnérabilités sont correctement corrigées avant la résolution du problème. Les développeurs obtiennent un total de tickets exploitables avec une assistance de correction pour tirer le meilleur parti de leur temps et produire un code plus sûr et plus sécurisé à l’avenir. Cela améliore non seulement les performances de travail et la sécurité des applications, mais également les relations entre le développeur et les groupes de sécurité.
La dernière phase du traitement de Netsparker est la continuité de la sécurité . Gardez à l’esprit la baguette magique du RSSI? Maintenant, il peut être agité à tout moment! Vous pouvez lancer autant d’analyses que vous le souhaitez, lorsque vous en avez besoin, même en déclenchant des tests à partir du pipeline d’avancement si nécessaire. Théoriquement, Netsparker doit trouver de moins en moins de problèmes au fil du temps à mesure que vos groupes corrigent les vulnérabilités existantes et améliorent leur développement. Les cybercriminels améliorent également leurs méthodes au fil du temps, donc la possibilité de développer des tests de sécurité dans le processus de développement avec Netsparker est vitale pour la tranquillité d’esprit de l’agent de sécurité.
La précision de Netsparker intégrée à un support d’automatisation étendu suggère que les ingénieurs en sécurité peut investir beaucoup moins de temps pour enquêter sur les problèmes de faible priorité et éliminer les faux positifs. Les développeurs sont directement impliqués dans la procédure de test de sécurité grâce à l’analyse basée sur la preuve pour s’assurer que leurs efforts sont constamment assistés à l’emplacement idéal avec les informations de support idéales.
Chaque spécialiste de la sécurité de l’organisation en a actuellement beaucoup pour le faire, ainsi inclure Netsparker les aidera à se concentrer sur un travail de plus grande valeur (et plus fascinant). En tant que seul outil de test d’application de ce type à reconnaître 100% des vulnérabilités dans l’environnement de test WAVSEP et avec un petit pourcentage de positifs incorrects, nous recommandons la plate-forme Netsparker comme option testée. Vous pouvez effectuer vos propres tests lors d’un essai totalement gratuit après vous être inscrit à une démonstration avec un professionnel Netsparker.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
