5 proposte di vendita comuni sulla sicurezza delle applicazioni web

15/02/21 CoreTech Blog

Il mondo della sicurezza informatica è molto complesso. Ci sono poche persone che lo capiscono. I fornitori di sicurezza ne traggono vantaggio e spesso cercano di vendere i loro prodotti e servizi utilizzando le piazzole. Di seguito sono riportati alcuni esempi comuni relativi alla sicurezza delle applicazioni Web.

"Il nostro strumento è tutto ciò di cui hai bisogno" - Non lo è mai

Questa presentazione di vendita dovrebbe attivare immediatamente un avviso, non solo nel caso della sicurezza delle applicazioni web. Se un fornitore afferma che la sua soluzione è l'unica di cui hai bisogno per ottenere la sicurezza, sta estendendo la verità. Indipendentemente dall'area della sicurezza IT, non esiste mai un'unica soluzione che garantisca una protezione completa. Hai sempre bisogno di una combinazione di diversi strumenti e abilità umane.

"La nostra soluzione garantisce una protezione al 100%" - Impossibile

Non c'è modo di garantire una protezione al 100%. Se un attore di minacce è molto intenzionato a entrare in un particolare sistema, ci sono buone probabilità che prima o poi troverà un modo per avere successo, e molto probabilmente la vittima non lo saprà nemmeno. Gli strumenti di sicurezza e gli esseri umani possono lavorare insieme solo per avvicinarsi il più possibile al 100%.

"Il nostro prodotto trova zero giorni": ogni Web Vulnerability Scanner lo fa

Se uno strumento di test dinamico della sicurezza delle applicazioni (DAST) viene pubblicizzato come unico perché rileva le vulnerabilità zero-day, è come annunciare che fa il suo lavoro. In base alla progettazione, gli scanner di vulnerabilità Web non funzionano in base alle firme di vulnerabilità note, ma tentano invece di sfruttare le vulnerabilità in modo sicuro agendo proprio come farebbe un hacker malintenzionato. Ciò significa che l'obiettivo principale di tale strumento è trovare vulnerabilità mai scoperte prima (cioè vulnerabilità zero-day).

"Non garantiamo falsi positivi" - È impossibile garantire

Proprio come abbiamo accennato prima, non esiste il "100%" nella sicurezza IT. Puoi sforzarti di essere il migliore e avvicinarti ma non c'è mai alcuna garanzia. In base alla progettazione, tutti gli strumenti DAST sono suscettibili a falsi positivi. Potremmo creare uno strumento DAST che troverebbe solo vulnerabilità verificate (con prove utilizzando la nostra tecnologia di prova di exploit), ma poi uno strumento del genere perderebbe molte vulnerabilità che semplicemente non possono essere dimostrate.

È impossibile eliminare i falsi positivi perché uno strumento non può mai sostituire completamente un essere umano. Le applicazioni Web hanno elementi che possono essere pienamente compresi solo da un essere umano, ad esempio, i flussi di logica aziendale. Ecco perché, sebbene tecnologie come la prova di exploit e IAST possano aiutare a ridurre il numero di falsi positivi, non raggiungeranno mai lo zero.

Inoltre, si noti che alcuni fornitori non specializzati dichiarano numeri di falsi positivi molto bassi in base a dati di input generici. Sebbene le loro affermazioni siano vere, si basano su statistiche di più classi di strumenti, come gli scanner di rete, che sono molto più semplici e molto meno inclini a falsi positivi rispetto agli scanner di vulnerabilità web. Potresti ritrovarti con uno scanner di vulnerabilità web che non è accurato al 99,99% ma inferiore al 95% perché il 99,99% era basato sulla precisione di 50.000 controlli di firma molto semplici in un prodotto di sicurezza di rete.

"Troviamo ogni vulnerabilità": nessuno scanner o penetration tester può garantirlo

Proprio come nel caso dei falsi positivi, non esiste uno strumento che possa essere completamente privo di falsi negativi. C'è sempre la possibilità che alcune vulnerabilità complesse vengano perse, indipendentemente da quanto avanzato lo scanner afferma di essere. Pertanto, qualsiasi produttore che afferma che il proprio prodotto può sostituire i test di penetrazione ha torto.

La sostituzione dei penetration tester non dovrebbe mai essere l'obiettivo finale di uno scanner di vulnerabilità web. L'obiettivo è ottimizzare il lavoro dei penetration tester individuando in modo automatico ed efficiente le vulnerabilità facili da individuare, quelle che sono semplicemente una perdita di tempo per un prezioso professionista. Proprio come un correttore ortografico e grammaticale non sostituirà mai uno scrittore, semplicemente rende il lavoro dello scrittore più facile e divertente eliminando le attività noiose e ripetibili.

Il tuo rilevatore di reclami Cut-Out-And-Keep Wild

Di fronte a una proposta di vendita sulla sicurezza IT, esegui il seguente elenco di controllo per filtrare l'iperbole del marketing:

1. Stanno cercando di dirti che la sicurezza non è complicata?
2. Stanno offrendo una soluzione perfetta per tutti i tuoi problemi, tutto in uno?
3. Ti stanno dando molte parole d'ordine e promesse alla moda ma pochissime informazioni?
4. Evitano i dettagli tecnici per sostenere il passo di vendita?
5. Stanno insultando i concorrenti senza fornire prove?
6. Offrono una vasta gamma di soluzioni invece di concentrarsi su un'area specifica di competenza?
7. Offrono una soluzione a basso costo con tutte le caratteristiche dei suoi concorrenti esclusivi e senza compromessi?
8. Da quanto tempo lavorano nel loro settore?

Ovviamente, la maggior parte delle presentazioni di vendita può essere verificata in modo molto rapido e semplice, vedendo effettivamente il software in azione. Tuttavia, potresti voler esaminare questo elenco anche se verifichi che il prodotto ha un bell'aspetto. Questo perché la veridicità del discorso di vendita è spesso in linea con la successiva qualità del servizio e del supporto.