Verbessern Sie die Sicherheit von Webanwendungen mit Detectify Asset Monitoring

von

Sicherheitslücken in Ihrer Anwendung und Infrastruktur aufdecken

Wie können Sie sicherstellen, dass Ihre Anwendung und Ihre Infrastruktur optimal vor Sicherheitslücken geschützt sind? Das ist eine Frage, die jedes Unternehmen, das online aktiv ist, beschäftigt.

Eine umfassende Lösung bietet Detectify mit seiner Suite zur Asset-Inventarisierung und -Überwachung. Diese beinhaltet Funktionen wie Schwachstellen-Scanning, Host-Erkennung und Software-Fingerprinting. Der Einsatz solcher Tools kann unangenehme Überraschungen vermeiden helfen, etwa unbekannte Hosts mit Sicherheitslücken oder leicht zu kompromittierende Subdomains.

Es gibt viele potenzielle Schwachstellen, die Angreifer ausnutzen können. Dazu gehören:

  • Das Offenhalten unnötiger Ports
  • Die Offenlegung unsicherer Subdomains, sensibler Dateien oder Anmeldedaten
  • Das Zugänglichmachen des .git-Verzeichnisses
  • Potenzielle OWASP-Top-Schwachstellen wie XSS, SSRF oder RCE

Sicher, Sie könnten Ports manuell scannen, Subdomains suchen und auf Schwachstellen testen. Gelegentlich ist das machbar, doch bei häufigerer Notwendigkeit wird es zeitaufwendig und ineffizient.

Was ist also die Lösung?

Die Antwort ist die Asset-Überwachung. Diese überwacht Ihre Webanwendung und führt regelmäßige Scans auf die oben genannten und viele weitere Aspekte durch, um die Sicherheit Ihres Online-Geschäfts zu gewährleisten 🛡️.

  • Detectify nutzt eine eigene Community ethischer Hacker, um Schwachstellenforschung durch Crowdsourcing zu betreiben. Dies bietet Ihnen Warnungen aus der Perspektive eines tatsächlichen Angreifers.
  • Konkurrierende Tools setzen oft auf Signaturen und Versionstests, die eher auf Compliance als auf tatsächlicher Sicherheit ausgerichtet sind. Die Hacker von Detectify liefern hingegen die realen Exploits, die für die Erstellung der Sicherheitstests genutzt werden. Das führt zu einem einzigartigen Testsatz, der bei anderen Anbietern nicht zu finden ist.
  • Das Ergebnis ist eine verbesserte, sicherere Sicherheitsprüfung, die Ihnen nur verifizierbare Resultate liefert.
  • Und Sicherheitsbefunde, die tatsächlich wertvoll für die Behebung sind!

In ihrem Blog wird beschrieben, wie die Entwicklungszeit für Asset-Monitoring-Tests von der Entdeckung durch den Hacker bis zur Veröffentlichung auf bis zu 25 Minuten verkürzt wurde.

Klingt interessant?

Schauen wir uns an, wie es funktioniert.

Der erste Schritt ist die Bestätigung, dass Sie der Eigentümer der zu überwachenden Domain sind oder berechtigt sind, einen Sicherheitsscan durchzuführen. Detectify stellt so sicher, dass sensible Informationen nicht in falsche Hände geraten.

Die Domainverifizierung kann auf unterschiedliche Weise erfolgen: Durch Hochladen einer .txt-Datei in das Stammverzeichnis Ihrer Domain, via Google Analytics, durch einen DNS-Eintrag oder mit einem Meta-Tag auf einer Webseite. Bei Problemen mit den Self-Service-Methoden gibt es auch eine unterstützte Verifizierungsoption.

Erstellung eines Scanprofils

Der zweite Schritt bei der Einrichtung von Detectify ist das Erstellen eines Scanprofils, das jeder Domain, Subdomain oder IP-Adresse Ihrer Website zugeordnet werden kann, auf der HTTP- oder HTTPS-Dienste laufen.

Nach der Einrichtung eines Scanprofils können Sie es detailliert konfigurieren.

Beispielsweise können Sie mehrere Profile haben, die der gleichen Domain, aber unterschiedlichen Anmeldedaten zugeordnet sind. So können Sie verschiedene Scans auf demselben Server durchführen und die Ergebnisse vergleichen.

Sobald Ihr Scanprofil konfiguriert ist, starten Sie den Scan mit einem einfachen Klick auf die Schaltfläche „Scan starten“. Das Dashboard zeigt dann an, dass ein Scan durchgeführt wird.

Die Dauer eines Scans ist abhängig von der Größe Ihrer Website. Bei sehr großen Websites kann der Scan mehrere Stunden dauern. Während dieser Zeit kann es zu einer leichten Verlangsamung der Site-Performance kommen. Daher ist es ratsam, Scans zu Zeiten geringerer Nutzung durchzuführen.

Scanberichte

Sobald Detectify die Website gescannt hat, erhalten Sie eine E-Mail. Diese informiert Sie über die Scanzeit, die Anzahl der gefundenen Probleme, gruppiert nach Schweregrad, und eine allgemeine Bedrohungsbewertung.

Die gecrawlten URLs lassen sich im Ergebnisbericht unter „Gecrawlte URLs“ einsehen. Sie erfahren, wie viele URLs der Crawler versucht hat zu erreichen und wie viele eindeutig identifiziert wurden.

Ein Link auf der Seite führt zum Download einer CSV-Datei mit allen gecrawlten URLs und den jeweiligen Statuscodes. Überprüfen Sie die Liste, um sicherzustellen, dass alle wichtigen Bereiche Ihrer Website erreicht wurden.

Um die Behebung von Problemen zu planen und genauere Ergebnisse zu erzielen, können Sie Befunde als „Behoben“, „Akzeptiertes Risiko“ oder „Falsch positiv“ markieren. Als „Behoben“ markierte Befunde werden in zukünftigen Berichten als erledigt gekennzeichnet. Ein „akzeptiertes Risiko“ ist etwas, das Sie nicht bei jedem Scan melden möchten. Als „falsch positiv“ wird ein Ergebnis bezeichnet, das einer Schwachstelle ähnelt, aber keine ist.

Viele Befunde, die ich nie vermutet hätte!

Detectify bietet verschiedene Ansichten der Scanergebnisse. Unter „Alle Tests“ sehen Sie alle entdeckten Schwachstellen. Die OWASP-Ansicht zeigt, wie anfällig Ihre Website für die Top-10-Schwachstellen ist.

Mit White- und Blacklisting-Optionen können Sie Bereiche hinzufügen, die ausgeblendet wurden, weil keine Links darauf verweisen oder Pfade verbieten, die der Crawler nicht besuchen soll.

Das Bestandsverzeichnis

Die Asset-Bestandsseite von Detectify zeigt eine Übersicht Ihrer hinzugefügten Domains oder IP-Adressen mit nützlichen Informationen, die Ihnen bei der Sicherung Ihrer IT-Investitionen helfen. Ein blaues oder graues Symbol zeigt an, ob die Asset-Überwachung aktiviert ist.

Durch Anklicken eines Assets erhalten Sie einen Überblick über Subdomains, Scanprofile, Fingerprint-Technologien, Ergebnisse, Einstellungen und vieles mehr.

Ergebnisse der Asset-Überwachung

Die Ergebnisse werden nach Schweregrad in drei Kategorien eingeteilt: hoch, mittel und niedrig.

Hohe Ergebnisse deuten meist auf Probleme mit der Veröffentlichung von sensiblen Daten oder Schwachstellen hin, die ausgenutzt werden können.

Mittlere Ergebnisse zeigen Situationen, in denen einige Informationen offengelegt werden. Dies kann zwar nicht direkt schädlich sein, aber ein Angreifer könnte sie in Kombination mit anderen Informationen nutzen.

Niedrige Ergebnisse weisen auf Subdomains hin, die übernommen werden könnten. Überprüfen Sie daher die Inhaberschaft.

Detectify bietet eine Wissensdatenbank mit vielen Anleitungen zur Behebung gefundener Schwachstellen. Nach der Behebung können Sie einen zweiten Scan durchführen, um die Ergebnisse zu überprüfen. Mit den Exportoptionen können Sie Ergebnisberichte in PDF-, XML- oder JSON-Dateien für Drittanbieter oder Dienste wie Trello oder JIRA erstellen.

Das Beste aus Detectify herausholen

Detectify empfiehlt, einen Domainnamen ohne Subdomains hinzuzufügen, um einen Überblick über Ihre gesamte Website zu erhalten, wenn diese nicht zu groß ist. Es gibt jedoch ein Zeitlimit von 9 Stunden für einen vollständigen Scan. Danach geht der Scanner zum nächsten Schritt über. Daher könnte es sinnvoll sein, Ihre Domain in kleinere Scanprofile zu unterteilen.

Der erste Scan zeigt möglicherweise, dass bestimmte Assets mehr Schwachstellen aufweisen. Dies ist neben der Scandauer ein weiterer Grund, Ihre Domain aufzuschlüsseln. Identifizieren Sie die wichtigsten Subdomains und erstellen Sie für jede ein Scanprofil.

Beachten Sie die Liste der „Erkannten Hosts“. Diese kann unerwartete Ergebnisse zeigen, etwa Systeme, von denen Sie nicht wussten, dass Sie sie haben. Diese Liste hilft, wichtige Anwendungen zu identifizieren, die einen gründlicheren Scan mit einem individuellen Profil verdienen.

Detectify schlägt vor, kleinere Bereiche für Scanprofile zu definieren, da dies genauere und konsistentere Ergebnisse liefert. Fassen Sie ähnliche Technologien oder Frameworks in den Profilen zusammen, damit der Scanner gezieltere Tests durchführen kann.

Fazit

Die Asset-Inventarisierung und -Überwachung ist für Unternehmen jeder Größe und Art unerlässlich. Dazu gehören E-Commerce, SaaS, Einzelhandel, Finanzen und Marktplätze. Lassen Sie keine Vermögenswerte unbeaufsichtigt. Testen Sie Detectify 2 Wochen lang kostenlos, um zu erfahren, wie Sie Sicherheitslücken finden und die Sicherheit Ihrer Webanwendungen verbessern können.

Weitere Artikel:

  1. Wie lernt man die Sicherheit von Webanwendungen?
  2. PHP-Sicherheit: Best Practices und Tipps zur Absicherung von Webanwendungen
  3. PHP-Sicherheit: Absicherung von Webanwendungen und Datenbanken in PHP
  4. 5 Cloudbasierte IT-Sicherheits-Asset-Überwachungs- und Bestandslösungen