识别Web应用程序漏洞并使用Netsparker优先确定修复程序

在此Help Net Security播客中,Ferruh Mavituna(首席执行官) Netsparker,讨论Web应用程序的安全性以及Netsparker如何帮助各种规模的企业保持其Web应用程序的安全性。

netsparker Web应用程序安全

为方便起见,这是播客的笔录。

你好。感谢您收看。今天我们’我将谈论Web应用程序的安全性,因为被黑的网站和安全漏洞已不再是新闻。即使专业人员知道它们的发生方式,即使我们拥有所有正确的工具,它们也已成为日常工作。我们’d想了解这些情况仍然如何发生。也许企业不知道可用的解决方案,或者他们没有足够的资源。让’s find out.

今天,我们正在采访Netsparker首席执行官兼创始人Ferruh Mavituna,我们将讨论Web应用程序安全性以及Netsparker如何通过其专有的尖端技术帮助各种规模的企业确保其Web应用程序的安全。感谢您加入我们Ferruh。

谢谢你有我

让’从第一个问题开始。就像我刚才说的那样,黑客不再是新事物。 Web应用程序安全性有什么问题,为什么我们会看到如此多的黑客攻击?

当我们研究Web应用程序安全性时,我认为我们在破坏这个问题。当您拥有一个开发人员时,当您拥有一个网站时,’很简单,你说“哦,它’很容易保护您的网站”。但它’并不是那么容易。我们在行业中遇到了两个主要问题。其中之一是企业拥有太多的Web应用程序。

如果Google仅保护一个Web应用程序,我敢肯定您不会’在该应用程序上找不到许多漏洞。但是,当规模如此庞大的组织(无论是政府,教育,技术,空间),拥有数百甚至数千个应用程序时,’这项任务非常艰巨。

大多数公司不这样做的事实’甚至不知道他们有多少个网站,因为组织分布得很好,并且拥有许多不同的部门,而且没有集中化的功能,’就像每个人都在各处弹出网站,微服务和API一样,没有一个单一的过程可以确保它们的安全。最重要的是,如果不解决问题,问题将变得更加严重。’拥有足够大的安全团队来支持这些大量的Web应用程序。

这两个关键问题是我们今天看到的问题的核心,也是老公司面临的挑战–他们正在转向非常敏捷的模型,并且非常分散。这意味着这些Web应用程序中的挑战不断被推陈出新,新的网站不断涌现,新的服务不断涌现。在小型安全团队的帮助下’对于他们来说,赶上当今大多数解决方案几乎是不可能的。

netsparker Web应用程序安全

公平点。但是,如今,像Netsparker一样,团队可以使用许多自动化工具,自动化扫描程序来发现安全问题,但我们正在感知这些问题。知道为什么吗?

这里的关键问题是,当您有这么多的网站时,应该使用自动化来解决问题。但是我们看到的是,人们谈论可扩展性。了解可伸缩性的最简单方法:“嘿,我可以运行2000个Web应用程序安全扫描吗?”答案是肯定的,在当今的技术世界中,几乎所有您都可以在云上进行扩展并且每个人都可以做到。那’s a good thing.

但这不’真正解决问题是因为,尽管扫描本身是可扩展的,但解决方案或Web应用程序安全性的整个过程目前仍无法扩展。这样做的核心原因是误报。发生的事情是,我们谈论安全开发生命周期,并且通过此可扩展的Web安全程序,我们希望以可扩展的方式确定Web安全结果(如漏洞)并报告给开发人员和个人。

但是,假设您有1000个网站,并进行了扫描,平均每个网站有5到10个问题,现在 ’重新审视10,000个问题,其中任何一个都可能是误报。即使您将它们分发给各个责任方,您也希望他们每个人都能审查并了解误报。如果这些是开发人员,那么如果您继续发送这些结果,他们将不再认真对待您,因为信噪比成为问题。误报是当今最大的问题之一。这就解释了为什么我们不能很好地扩展。

netsparker Web应用程序安全

不会’更大的安全团队可以解决这个问题吗?

并不是的。从理论上讲,也许从没有。问题的一部分是,流程本身是不可扩展的,并且是瓶颈驱动的。您不能告诉开发人员“嘿,别’t推功能两天,因为我’我仍然赶上了您以前使用的功能,而我’我仍在测试他们。”最重要的是,实际上,即使您想捆绑所有这些人,即使您拥有世界上所有的钱,也没有人才。世界上没有足够的安全人才可以招聘和解决这个问题。因此,您绝对需要,作为一个行业,整个行业都需要大量依赖Web应用程序,整个组织都需要独立于人力资源的可扩展解决方案,因为它不’t scale.

如您所说,当今许多公司分布广泛,它们严重依赖于Web应用程序。解决办法是什么?我知道Netsparker的做法有所不同。您能解释一下Netsparker如何做网络安全吗?’在这种情况下有帮助吗?

实际上,我们有两个关键问题来解决可伸缩性问题,并且在过去的四到五年中我们一直在努力。正如我所说,可伸缩性问题的核心不是您可以运行多少扫描,而是关于“您可以扩展整个过程吗?”,这不仅仅是发现漏洞。它正在查找漏洞,确保这些漏洞不是误报,而是您要解决和修复的,切实可行的漏洞。然后将这些漏洞发送给合适的人,这样您就不会’创建一个利用这些漏洞然后分配人员的安全组的瓶颈。然后确保已解决漏洞。

在Netsparker中,为了解决误报问题,我们拥有一种称为基于证明的扫描的技术。 Netsparker识别漏洞的方式实际上批准了它是否’是否存在真正的漏洞。让’s say it’SQL注入,它不会’只是说“嘿,那里’SQL注入,可能是可利用的”。而是说“嘿,我找到了这个SQL注入,这是您数据库中的数据”。所有这些都是自动化的,因此您可以自动知道这些漏洞不是误报,而是非常真实的漏洞。

netsparker Web应用程序安全

当涉及到挑战的第二部分时,这就是我们解决误报问题的方式。每当我们有漏洞时,我们都会知道是否存在漏洞’真实与否,我们会向所有人提供证明,例如来自数据库或服务器中文件的数据,因为其中包含本地文件。这样做的好处’不仅安全团队可以简单地说:“嘿,我不’不必再次检查,’绝对正确”,但是现在您可以将此数据发送给任何人,开发人员或负责解决这些问题的任何人,您将永远不会遭到反对,因为他们知道这是真实的,因为他们可以看到证据。

从历史上看,这是许多Web安全程序无法扩展的关键问题之一。一个安全小组需要检查每个结果,以避免向开发人员发送误报。即使在那之后,开发人员也会回来说:“这是真的吗?你能繁殖吗?你能证明这是真实的吗?”特别是在大型组织中。那’误报问题的解决方案。

我提到了另一个问题:此后会发生什么?您如何发送给合适的人?如何确保他们进行修复?您如何评价?我们获得了整个工作流程和集成来解决该问题。当Netsparker发现漏洞时,它会触发规则的整个工作流程,工作流程规则就像“嘿,将此漏洞发送给首先介绍该漏洞的人员”。实际上,它与开发人员的源代码存储库用户(例如Git用户,SVN用户)的用户名匹配,然后通过将同一用户映射到错误跟踪用户(例如JIRA)来创建票证。当开发人员引入漏洞时,他们会得到一张票,而不是一个普通人,而不是安全团队,而是由特定的单个开发人员来获得票。

这是非常分散的,中间没有瓶颈,并且一切都可以正常工作,即使安全团队正在睡觉并且在世界的另一端醒来,也只能看到“哦,欧洲的开发人员介绍了一个漏洞,创建者在半小时内获得了解决该问题的票证,然后在其错误跟踪系统Jira中将该问题标记为已解决,然后该问题重新测试了已确认的部署,并且Netsparker修复成功。安全团队醒来并查看这些漏洞时,就会引入,识别,报告,修复,重新测试和关闭漏洞。这就是为什么我们可以扩展该Web安全流程的原因,而任何其他解决方案都将无法做到这一点,或者解决此问题的任何其他方法都将无法扩展。

netsparker Web应用程序安全

如果将Netsparker集成为SDLC开发工作流程或任何其他类型的开发环境,则这样做的方式基本上就是在扫描后自动进行所有操作。您只需要安全团队一点点监督就可以确保一切正常,对吗?

究竟。那’是什么使它成为您这种可扩展过程的非常瓶颈,最重要的是,现在您的安全团队可以自由解决更大的问题。现在他们可以看到整个过程,甚至可以说“哦,好吧,现在开发人员正在引入这些漏洞,是的,Netsparker捕获了这些漏洞,我们的程序捕获了这些漏洞,并解决了这些漏洞”,但他们一直在介绍。也许他们可以采取一些战略行动,例如“哦,好吧,让’让他们成为这个特定的开发人员群体,让’让他们获得安全的代码培训”。

他们从诸如SQL注入,XSS脚本等这些单独的问题中提升了自己,并且可以根据在数千次扫描和其网站中积累的数据来做出战略决策,并且可以解决所有这些大问题。有条不紊地。那’作为关键要素,他们以前所未有的方式了解整个事物。

非常感谢您的见解。在我们关闭之前,Netsparker的未来会是什么样?

当您拥有成千上万个Web应用程序时,我们将专注于解决如何获得对Web安全性的控制这一大问题。未来与此息息相关。我们将添加发现之类的新内容,识别您的所有资产,即使您没有’不知道它的存在,它属于你。我们正在朝着这个方向前进,只需不断添加功能,以帮助组织以其安全部门可能拥有的最少资源来扩展其Web安全程序。

分享这个