Diventa Autore per CoreTech | Scopri di più
25/06/21 CoreTech Blog
Con l'immensa popolarità del software open source come Linux, WordPress o Magento, potresti chiederti perché la situazione è così diversa nel mondo della sicurezza delle applicazioni web. Proviamo a confrontare gli scanner di vulnerabilità open source con soluzioni commerciali e sarà presto chiaro perché le aziende evitano gli strumenti di sicurezza delle applicazioni web open source.
Molti dei più diffusi software di sicurezza IT vengono distribuiti utilizzando licenze open source. La maggior parte degli strumenti di test di penetrazione come nmap o Wireshark sono open source. Esistono anche soluzioni avanzate come Snort IPS / IDS e OpenVAS network vulnerability scanner (un ramo di Nessus). Allora perché è diverso nel caso della sicurezza delle applicazioni web?
La qualità degli strumenti di sicurezza delle applicazioni web open source è in ritardo rispetto ai prodotti commerciali. Sebbene ci siano piccole imprese che affermano che gli strumenti open source sono sufficienti per loro, anche loro tendono a cambiare idea quando crescono.
Ecco alcuni dei motivi per cui gli strumenti di sicurezza delle applicazioni web open source non sono all'altezza di soluzioni professionali.
Quando sono comparsi i primi scanner di sicurezza Web, erano pensati per essere utilizzati manualmente per eseguire test di vulnerabilità. Erano destinati agli esperti di sicurezza: penetration tester, ricercatori di sicurezza, ecc. Pertanto, la facilità d'uso non è mai stata un fattore molto importante perché gli esperti comprendono la sicurezza delle applicazioni web abbastanza bene da capire come ottenere il massimo dal software. Questa tendenza prevale ancora con gli strumenti manuali.
Col tempo, il pubblico previsto per gli scanner di vulnerabilità web è cambiato. Ne avevano bisogno anche persone prive di una conoscenza approfondita della sicurezza, ad esempio amministratori di sistema incaricati di gestire la sicurezza nelle piccole imprese, amministratori DevOps che configurano SLDC agili o persino sviluppatori stessi. Perché non solo personale di sicurezza? Per un semplice motivo: le esigenze di sicurezza stanno crescendo così rapidamente che non ci sono abbastanza professionisti della sicurezza da assumere. Esiste un notevole divario di competenze in materia di sicurezza informatica , che dovrebbe solo peggiorare con il tempo. Pertanto, sempre più attività di sicurezza devono essere affidate a persone che hanno meno formazione e che si affidano a buoni strumenti automatizzati.
Sfortunatamente, lo sviluppo di strumenti open source non ha seguito questa tendenza. Gli scanner di vulnerabilità web open source sono rimasti piuttosto difficili da usare, simili a molti altri strumenti open source.
Gli strumenti di protezione delle applicazioni Web open source sono, per impostazione predefinita, solo scanner di vulnerabilità. Tuttavia, le aziende hanno bisogno di molto di più che puntare uno strumento su un server web e ottenere un elenco di vulnerabilità. Non è possibile correggere tutte le vulnerabilità contemporaneamente: un'azienda deve sapere a quali vulnerabilità dare la priorità perché rappresentano un rischio per la sicurezza maggiore. È inoltre necessario gestire il processo di correzione e ricontrollo.
Gli strumenti professionali per la sicurezza delle applicazioni web non sono solo scanner, ma anche strumenti di gestione e valutazione delle vulnerabilità. Valutano la gravità della vulnerabilità in modo da iniziare risolvendo problemi importanti come le SQL injection o lo scripting cross-site e solo successivamente dedicare tempo a configurazioni errate non critiche. Forniscono inoltre sia la gestione dei problemi incorporata che le integrazioni pronte all'uso con i più diffusi rilevatori di problemi come Jira.
Il terzo motivo per cui gli strumenti di sicurezza delle applicazioni web open source non sono adatti alle aziende è legato al rapido sviluppo della sicurezza delle applicazioni web. Un'azienda non può permettersi di aspettare che i team di progetto open source trovino il tempo per aggiungere nuove classi di vulnerabilità, nuove funzionalità o supporto per nuovi framework web. L'importanza della sicurezza delle applicazioni Web cresce rapidamente, semplicemente perché sempre più aziende passano da soluzioni locali ad ambienti virtuali (il cloud). Ciò significa anche che i criminali sono molto interessati a stare al passo con gli ultimi sviluppi e trovare nuovi modi per sfruttare le vulnerabilità.
I fornitori di software che sono completamente focalizzati sulla sicurezza delle applicazioni web, come Invicti , hanno un vantaggio unico: possono concentrarsi completamente sul tenersi al passo con le tecnologie e le tendenze web. Questo non è solo un vantaggio rispetto agli strumenti open source, ma anche rispetto ad altri fornitori commerciali. Molti fornitori di strumenti per la sicurezza web si concentrano principalmente sugli scanner per la sicurezza della rete, che si occupano di firme e patch, e rifuggono dalle complessità della sicurezza delle moderne applicazioni web. Semplicemente non riescono a tenere il passo.
Molte aziende che lavorano con strumenti open source sanno molto bene che ci sono alcuni costi nascosti associati al software gratuito. Nel software, gratuito significa nessun aiuto e nessun supporto, ad eccezione del supporto della comunità. Ad esempio, le aziende che scelgono il sistema operativo Linux per sostituire Windows spesso si iscrivono a programmi di supporto di terze parti. Ciò rende il software libero non più gratuito e, a lungo termine, spesso più costoso delle alternative commerciali.
Ovviamente, la necessità di supporto è diversa per le diverse classi di software. Un semplice word processor potrebbe non aver bisogno dello stesso supporto di una complessa soluzione di sicurezza IT. A causa della loro natura, gli scanner di vulnerabilità web potrebbero aver bisogno di supporto con problemi di configurazione iniziale e ancora più supporto se intendi automatizzare le attività e integrare gli strumenti con i tuoi ambienti attuali.
Senza supporto, gli strumenti di vulnerabilità web open source sono solo strumenti manuali di test della penna per i ricercatori della sicurezza: aiutano a identificare le minacce alla sicurezza ed è qui che finisce la storia.
I falsi positivi sono il più grande punto dolente della sicurezza delle applicazioni web. Questo perché la sicurezza delle applicazioni web si occupa principalmente di codice personalizzato. Se hai un falso positivo identificato da un test di vulnerabilità della rete, ciò non influisce sugli sviluppatori e di solito significa solo che le patch che applichi al software o ai dispositivi di rete non sono critiche. In uno scenario di sicurezza dell'applicazione web, puoi ricontrollare ogni vulnerabilità rilevata utilizzando uno scanner e consumare le risorse del team di test della penna oppure puoi rischiare che gli sviluppatori cerchino fantasmi, cercando di risolvere un problema che non esiste.
Ecco perché uno dei criteri più importanti per la selezione di uno scanner di sicurezza web è il modo in cui gestisce i falsi positivi. Se lo scanner può, in qualche modo, dimostrare che la vulnerabilità esiste, significa che il problema può andare direttamente allo sviluppatore per una soluzione: non è necessaria la conferma manuale. Gli scanner open source (e anche diversi prodotti commerciali) non hanno tali capacità. Ogni problema segnalato è solo una potenziale vulnerabilità, non reale.
Peggio ancora, il problema dei falsi positivi non cresce solo in modo lineare con il numero di applicazioni web e lo sviluppo della tua attività. Più grande è la tua attività e più applicazioni hai, peggiore sarà l'impatto dei falsi positivi sulle tue risorse. Quindi, se stai guardando al futuro, semplicemente non puoi permetterti di utilizzare uno strumento che ostacolerà la tua crescita, come uno scanner di sicurezza web di base, manuale e open source.
Il software open source è un ottimo punto di partenza se sei uno studente, un ricercatore indipendente o una piccola start-up (ad esempio, se hai meno di 5 applicazioni web in totale). Tuttavia, se hai intenzione di crescere, prima o poi noterai che il software open source non è più sufficiente e anche se identifica le vulnerabilità della sicurezza web, non può aiutarti a risolverle. Infine, l'obiettivo della sicurezza delle applicazioni web non è quello di evidenziare le vulnerabilità, ma di eliminarle.