Website-aanvallen kunnen maandenlang onopgemerkt blijven, omdat hackers vertrouwelijke informatie stelen. De financiële verliezen en reputatieschade als gevolg van een mogelijke inbreuk zetten organisaties aan om hun webtoepassingen te beschermen. Hier komen we te weten van Ilia Kolochenko, CEO van High-Tech Bridge en hoofdarchitect van ImmuniWeb, hoe u uw website in 2015 veilig kunt houden.

  • Hoe het landschap met beveiligingsdreigingen zich aan het voltrekken is voor 2015

TechRadar Pro: Welke tools zijn organisaties wenden zich om hun websites te beschermen?

Ilia Kolochenko: Wanneer beveiligingsinbreuken het nieuws vullen met verhalen over gestolen klantgegevens en website-fouten, schakelen organisaties meestal over op geautomatiseerde scanners. En deze overdreven kijk op scanners laat organisaties in een kwetsbare positie. Helaas bestaat er nog steeds een algemene misvatting dat volledig geautomatiseerde scan van website-kwetsbaarheid dezelfde resultaten oplevert als penetratietests met handmatige webapplicaties.

TRP: Waarom hebben we nog steeds handmatige penetratietesten nodig??

IK: De behoefte aan menselijke vaardigheden werd onlangs aangetoond door een belangrijke nieuwe analyse (gerapporteerd door Ars Technica) uitgevoerd door de universiteiten van KU Leuven (België) en Stony Brook (New York).

De onderzoekers testten websites "beschermd" met verschillende vertrouwenszegels van beveiligingsleveranciers die geautomatiseerde kwetsbaarheid en malwarescanservices leveren - gerenommeerde bedrijven waaronder Symantec, McAfee, Trust-Guard en Qualys.

Het onderzoek toonde aan "dat zeehondenaanbieders zeer slecht presteren als het gaat om het detecteren van kwetsbaarheden op de websites die zij certificeren." Dit is een zwakte die inherent is aan bijna alle volledig geautomatiseerde oplossingen - ze kunnen alleen zo ver gaan voordat hun output moet worden geanalyseerd door een gekwalificeerde pentester (penetratietester).

TRP: Vertel ons hoe kwetsbaarheidsscans werken?

IK: Kwetsbaarheidsscans kunnen erg goedkoop of zelfs gratis zijn, terwijl penetratietesten als vrij duur en tijdrovend kan worden beschouwd om te plannen en uit te voeren. Penetratie-testen hebben echter een significante toegevoegde waarde in vergelijking met alle typen malware of kwetsbaarheidsscans die momenteel op de webbeveiligingsmarkt plaatsvinden.

Sterker nog, tegenwoordig kan bijna iedereen scannen op kwetsbaarheid: je hoeft alleen maar een aantal kwetsbaarheidscanners te downloaden - sommige best uitstekend - en ze tegen een website te gebruiken. Ze zullen een automatisch rapport genereren met tal van actuele en potentiële kwetsbaarheden en zwakke punten - en waarschijnlijk ook een aantal valse positieven.

Valse positieven zijn tijdrovend - u moet elk probleem dat de scanner detecteert verifiëren. Veel erger zijn valse negatieven - bestaande kwetsbaarheden die geautomatiseerde oplossingen missen, waardoor systemen kwetsbaar worden en beheerders van websites een vals gevoel van veiligheid krijgen. Sommige geautomatiseerde oplossingen kunnen een gemiddeld risico toewijzen aan 403 of 500 foutpagina's die door de webserver worden geretourneerd (dit zijn geen kwetsbaarheden, alleen foutpagina's).

Ten slotte beginnen websitebeheerders, onder belasting van zware werkbelastingen, alle risicovolle kwetsbaarheden van dagelijkse scanrapporten te negeren. Als gevolg hiervan missen ze belangrijke informatie over echte kwetsbaarheden die hun aandacht verdienen.

TRP: Welke bedrijven moeten vulnerability scanners gebruiken??

IK: Beveiligingsscanners zijn waarschijnlijk een must-have tool voor grote bedrijven die intern een aantal beveiligingsonderzoeken uitvoeren, afhankelijk van interne beveiligingsprofessionals die in staat zijn om de resultaten van een geautomatiseerde scan te controleren en te voltooien. Geautomatiseerd scannen van kwetsbaarheden kan ook erg handig zijn om interne teams op de hoogte te houden van de algemene toestand van hun webtoepassingen.

Geautomatiseerde oplossingen en beveiligingsscanners zijn echter niet in staat om een ​​penetratietest te vervangen. Ze zijn ook niet geschikt voor KMO's, ook niet voor projecten waar bedrijven zowel snelheid als de hoogste kwaliteit van beveiligingstests nodig hebben.

TRP: Wat zijn de voordelen van handmatige penetratietesten?

IK: Met True Pentesting wordt gestart vanaf waar een kwetsbaarheidsscan is voltooid. Een pentester neemt de rapporten van waarschijnlijk verschillende scans en gebruikt zijn persoonlijke vaardigheden en ervaring om valse positieven weg te nemen en gemiste kwetsbaarheden te identificeren.

Hij zal met name waarschijnlijk de zwakke punten in de bedrijfslogica herkennen, die scanners niet efficiënt kunnen detecteren, en zien hoe anders kleine technische onvolkomenheden samen kunnen worden geketend om een ​​grote inbreuk te bewerkstelligen. Een recent voorbeeld van een tekort aan applicatielogica is de website van Alibaba, waar een kleine bug de gevoeligste informatie van miljoenen gebruikers blootlegde. Een ander recent voorbeeld is een vergelijkbare kwetsbaarheid op de website van Delta Airlines, waar URL-manipulatie toegang gaf tot de instapkaart van iemand.

Een ander voorbeeld van de vitale behoefte aan een diep niveau van IT- en beveiligingsexpertise komt met de ontdekking van een kwetsbaarheid door een scanner. Het beveiligingslek is waarschijnlijk al bekend bij het beveiligingsteam en blijft om een ​​"goede reden" ongepatcht - in sommige gevallen kan een patch voor het lek de functionaliteit van een kritisch bedrijfsproces bedreigen. Het komt vaak voor in grote bedrijven, waar veel kritieke producten intern worden ontwikkeld of worden uitbesteed en die te kampen hebben met verschillende compatibiliteitsproblemen waardoor systemen niet up-to-date worden gehouden.

In dit geval genereert een scanner waarschijnlijk alleen generieke informatie over een patchtechniek. Een gekwalificeerde pentester is echter in staat om de zakelijke behoeften en processen van de klant te begrijpen en zal waarschijnlijk een passende oplossing voorstellen die geen invloed heeft op de bedrijfscontinuïteit, en als de kwetsbaarheid niet wordt verholpen, dan op zijn minst de exploitatie ervan voorkomen (door extra toe te voegen regels voor de Web Application Firewall bijvoorbeeld).

TRP: Hoe nauwkeurig zijn kwetsbaarhedenscanners?

IK: In onze ervaring kunnen de meeste scanners waarschijnlijk slechts ongeveer 40-60% van de kwetsbaarheden in webtoepassingen vinden. Het is geen probleem met de scantechnologie - een scanner zou waarschijnlijk kunnen worden ontwikkeld voor een bepaalde toepassing, platform of raamwerk dat in staat is om 99% van de specifieke kwetsbaarheden voor de toepassing te vinden.

Gezien de grote verscheidenheid aan webtechnologieën die tegenwoordig bestaan, is het echter onmogelijk om een ​​universele scanner te ontwikkelen die kwetsbaarheden in alle soorten webtoepassingen efficiënt detecteert. Hier is menselijke expertise vereist.

TRP: Wat zijn de limieten voor webpenetratietests?

IK: Webpenetratietests hebben ook hun limieten. Ze kunnen bijvoorbeeld niet voorkomen dat een pc met website-beheerders wordt gehackt, met het doel om FTP- of SSH-inloggegevens te stelen om de website later met malware te infecteren. Malware kan echter zeer snel worden geïdentificeerd bij het dagelijks scannen van malware.

Kwetsbaarheidsscans moeten worden gebruikt voor continue bewaking van beveiliging en integriteit, terwijl penetratietests moeten worden gebruikt om alle bestaande kwetsbaarheden en zwakke plekken goed te identificeren en betrouwbare oplossingen voor hen te ontwikkelen. Dit is waar continue dagelijkse monitoring in combinatie met driemaandelijkse penetratietesten de meest efficiënte en effectieve manier is om een ​​website te beveiligen.

TRP: Waar ziet u de toekomst van webbeveiligingsbeoordeling?

IK: Als een oplossing voor de kloof tussen geautomatiseerde en handmatige beveiligingstests, heeft High-Tech Bridge dit jaar ImmuniWeb SaaS gelanceerd - een hybride aanpak voor het testen van webbeveiliging.

ImmuniWeb combineert handmatige en geautomatiseerde webbeveiligingstests die geschikt zijn voor alle soorten bedrijven, ongeacht hun grootte, geografische locatie of interne vaardigheden. De hoge snelheid en grootschalige van geautomatiseerde tests in combinatie met menselijke expertise en ervaring detecteren nauwkeurig de meest complexe beveiligingsfouten die worden gemist door scanners en andere geautomatiseerde oplossingen.

Bovendien bieden ImmuniWeb-auditors onze klanten gepersonaliseerde oplossingen die zijn afgestemd op hun zakelijke en technische behoeften.