Acunetix临时扫描是不够的
Web漏洞扫描程序通常被视为即席工具。最初,所有漏洞扫描程序都是这种工具,并且当前的开源Web应用程序安全解决方案仍遵循该模型。但是,随着Web技术的复杂性和可用性的大幅增加,临时模型已经过时,无法满足当今大多数企业的安全需求。
为什么您会陷入临时扫描? 为渗透测试人员创建了漏洞扫描程序,将其作为支持工具。最初,渗透测试人员将运行漏洞扫描以快速发现典型漏洞。然后,他们将更深入地了解扫描结果,例如,以确认漏洞,并执行更高级的测试,例如涉及业务逻辑的测试。
最初,大多数企业通常依赖于第三方渗透测试人员(自由职业者或服务公司)的服务。例如,企业将每季度订购一次渗透测试,然后在接下来的三个月中完全不进行安全测试。因此,作为渗透测试的一部分的所有漏洞扫描最初都被视为即席活动,而不是持续的安全措施。
时间已经过去,漏洞扫描程序变得更加先进。当今的专业扫描仪(例如Acunetix)仍然依赖扫描引擎,但功能远不止于此。他们成为自动化漏洞评估和漏洞管理工具。但是,许多购买者仍然习惯于“旧方法”,并且将安全性视为即席练习,因此,他们错过了现代DAST解决方案的关键优势。
没有临时扫描的空间 Acunetix在过去的几年中,不仅仅是漏洞扫描技术发生了很大的变化。这也是对将漏洞扫描程序放置在软件开发生命周期中的位置以及由谁使用此类软件的认识。
如上所述,漏洞扫描器最初是专门为渗透测试人员制作的工具。是的,这也是Acunetix故事的开始!但是,公司很快意识到他们可以在内部运行漏洞扫描,然后外包渗透测试。这样,可以临时执行自动安全测试,但间隔更短,而复杂而昂贵的手动渗透测试则可以更少地执行。那时,漏洞扫描程序已从渗透测试人员手中转移到内部安全团队手中。
最新最好的趋势是将漏洞扫描器完全集成到自动化系统中,从而无需人工手动运行它们。Acunetix这要归功于DevSecOps和SecDecOps,它们将漏洞扫描程序转移到开发人员手中。一旦开发人员将更改提交到应用程序并尝试对其进行构建,则构建和测试管道还包括漏洞扫描,由开发人员获取扫描报告。在理想情况下,由于网络安全技能的不足,内部安全人员如今已成为宝贵的资源,根本不必参与其中。在这种情况下,没有临时扫描的空间。
临时扫描的效率低下 临时扫描,尤其是与手动渗透测试结合使用,可以使您评估当前的Web应用程序安全性。但是,就其本身而言,它绝对无济于事。
执行临时扫描后,您会在某个时间点获得漏洞列表,但不会自动开始消除这些漏洞的过程。使用简单的扫描程序,您必须评估发现的每个漏洞(通常成百上千个)的影响和重要性。然后,您必须手动创建某种过程或管道来修复漏洞,例如,创建Jira问题。现在,想象一下对于拥有许多复杂的Web应用程序和API的企业来说这是多么不可能。
当开发人员将漏洞报告为已修复时,您将无法验证该漏洞是否不再存在或该修补程序是否引入了另一个漏洞。许多开发人员避开了安全性,只会找到逃避特定类型扫描的简单方法,例如,使用简单的筛选器而不是参数化查询来消除SQL注入漏洞。许多被报告为已修复的漏洞实际上根本没有得到修复。
更糟糕的是,在执行下一个临时扫描时,它与先前的扫描没有任何连接。因此,您必须手动将新扫描中的每个漏洞与上一次扫描中的相同漏洞对齐,以查看漏洞是否确实得到修复。这成为另一个不可能的任务。
总而言之,自动漏洞扫描为渗透测试人员节省了一些时间,但是,如果您不是临时进行而是实际使用Acunetix等现代工具的漏洞评估和漏洞管理功能,则可以节省更多时间,不仅适用于渗透测试人员,还适用于安全经理,项目经理,产品和服务所有者以及开发人员。
这不仅是一点收获,而且是一场革命。
如何使用漏洞扫描器 毫无疑问,使用漏洞扫描程序的最佳方法是在软件开发生命周期的早期。越早越好。但是,并非所有企业都能实现这一目标–只有拥有全自动敏捷DevOps管道的企业才能实现。但是,这并不意味着您唯一的选择就是临时选择。有各种各样的有效方法可以将漏洞扫描嵌入到SDLC中。
例如,无论您使用哪种类型的SDLC方法,都可以使Web漏洞扫描作为发行周期的一部分进行连续的过程。如果您根本不自己开发软件,而是依靠诸如WordPress或Magento之类的第三方工具,甚至可以这样做。无论您的软件来自哪里,您都肯定会使用某种暂存环境并在其中执行质量检查测试。如果是这样,则应在其中包括连续扫描。
不要只对每个主要版本进行扫描。而是将其作为分期周期的常规元素。使用漏洞管理和漏洞评估功能以及简单的集成选项,可以为每个超过特定严重性阈值的漏洞自动创建票证。开发人员修改软件并重新部署后,将自动重新测试漏洞。
即使您决定不能延迟发布并且某些漏洞(例如,由Acunetix自动评估为中等或低级的漏洞)也无法立即消除,您仍可以在下一次漏洞发布之前监控其进度释放。您将拥有跨多个发行版的票证,并且可以重新测试是否确实消除了这些漏洞。
用Acunetix做到 市场上还有其他专业的漏洞扫描仪,但是Acunetix具有许多优点。首先,它是技术先驱,它提供了其他大多数产品都无法提供的创新功能,例如,附加的IAST模块。其次,它是市场上最著名的扫描仪-历史最悠久的扫描仪。第三,它是在您的脑海中想到的:一个不仅在寻找简单产品的人,而且还想要真正的安全解决方案的人。要查看这是否是适合您的解决方案,请请求演示。