Diventa Autore per CoreTech | Scopri di più





Strumenti di scansione delle vulnerabilità: perché non open source?

25/06/21 CoreTech Blog

Con l'immensa popolarità del software open source come Linux, WordPress o Magento, potresti chiederti perché la situazione è così diversa nel mondo della sicurezza delle applicazioni web. Proviamo a confrontare gli scanner di vulnerabilità open source con soluzioni commerciali e sarà presto chiaro perché le aziende evitano gli strumenti di sicurezza delle applicazioni web open source.

Open-Source e sicurezza informatica

Molti dei più diffusi software di sicurezza IT vengono distribuiti utilizzando licenze open source. La maggior parte degli strumenti di test di penetrazione come nmap o Wireshark sono open source. Esistono anche soluzioni avanzate come Snort IPS / IDS e OpenVAS network vulnerability scanner (un ramo di Nessus). Allora perché è diverso nel caso della sicurezza delle applicazioni web?

La qualità degli strumenti di sicurezza delle applicazioni web open source è in ritardo rispetto ai prodotti commerciali. Sebbene ci siano piccole imprese che affermano che gli strumenti open source sono sufficienti per loro, anche loro tendono a cambiare idea quando crescono.

Ecco alcuni dei motivi per cui gli strumenti di sicurezza delle applicazioni web open source non sono all'altezza di soluzioni professionali.

Motivo 1. Facilità d'uso

Quando sono comparsi i primi scanner di sicurezza Web, erano pensati per essere utilizzati manualmente per eseguire test di vulnerabilità. Erano destinati agli esperti di sicurezza: penetration tester, ricercatori di sicurezza, ecc. Pertanto, la facilità d'uso non è mai stata un fattore molto importante perché gli esperti comprendono la sicurezza delle applicazioni web abbastanza bene da capire come ottenere il massimo dal software. Questa tendenza prevale ancora con gli strumenti manuali.

Col tempo, il pubblico previsto per gli scanner di vulnerabilità web è cambiato. Ne avevano bisogno anche persone prive di una conoscenza approfondita della sicurezza, ad esempio amministratori di sistema incaricati di gestire la sicurezza nelle piccole imprese, amministratori DevOps che configurano SLDC agili o persino sviluppatori stessi. Perché non solo personale di sicurezza? Per un semplice motivo: le esigenze di sicurezza stanno crescendo così rapidamente che non ci sono abbastanza professionisti della sicurezza da assumere. Esiste un notevole divario di competenze in materia di sicurezza informatica , che dovrebbe solo peggiorare con il tempo. Pertanto, sempre più attività di sicurezza devono essere affidate a persone che hanno meno formazione e che si affidano a buoni strumenti automatizzati.

Banner

Sfortunatamente, lo sviluppo di strumenti open source non ha seguito questa tendenza. Gli scanner di vulnerabilità web open source sono rimasti piuttosto difficili da usare, simili a molti altri strumenti open source.

Banner

Motivo 2. Più che la scansione delle vulnerabilità

Gli strumenti di protezione delle applicazioni Web open source sono, per impostazione predefinita, solo scanner di vulnerabilità. Tuttavia, le aziende hanno bisogno di molto di più che puntare uno strumento su un server web e ottenere un elenco di vulnerabilità. Non è possibile correggere tutte le vulnerabilità contemporaneamente: un'azienda deve sapere a quali vulnerabilità dare la priorità perché rappresentano un rischio per la sicurezza maggiore. È inoltre necessario gestire il processo di correzione e ricontrollo.

Gli strumenti professionali per la sicurezza delle applicazioni web non sono solo scanner, ma anche strumenti di gestione e valutazione delle vulnerabilità. Valutano la gravità della vulnerabilità in modo da iniziare risolvendo problemi importanti come le SQL injection o lo scripting cross-site e solo successivamente dedicare tempo a configurazioni errate non critiche. Forniscono inoltre sia la gestione dei problemi incorporata che le integrazioni pronte all'uso con i più diffusi rilevatori di problemi come Jira.

Motivo 3. Tenere il passo con la crescita

Il terzo motivo per cui gli strumenti di sicurezza delle applicazioni web open source non sono adatti alle aziende è legato al rapido sviluppo della sicurezza delle applicazioni web. Un'azienda non può permettersi di aspettare che i team di progetto open source trovino il tempo per aggiungere nuove classi di vulnerabilità, nuove funzionalità o supporto per nuovi framework web. L'importanza della sicurezza delle applicazioni Web cresce rapidamente, semplicemente perché sempre più aziende passano da soluzioni locali ad ambienti virtuali (il cloud). Ciò significa anche che i criminali sono molto interessati a stare al passo con gli ultimi sviluppi e trovare nuovi modi per sfruttare le vulnerabilità.

I fornitori di software che sono completamente focalizzati sulla sicurezza delle applicazioni web, come Invicti , hanno un vantaggio unico: possono concentrarsi completamente sul tenersi al passo con le tecnologie e le tendenze web. Questo non è solo un vantaggio rispetto agli strumenti open source, ma anche rispetto ad altri fornitori commerciali. Molti fornitori di strumenti per la sicurezza web si concentrano principalmente sugli scanner per la sicurezza della rete, che si occupano di firme e patch, e rifuggono dalle complessità della sicurezza delle moderne applicazioni web. Semplicemente non riescono a tenere il passo.

Motivo 4. Costi nascosti dell'open source

Molte aziende che lavorano con strumenti open source sanno molto bene che ci sono alcuni costi nascosti associati al software gratuito. Nel software, gratuito significa nessun aiuto e nessun supporto, ad eccezione del supporto della comunità. Ad esempio, le aziende che scelgono il sistema operativo Linux per sostituire Windows spesso si iscrivono a programmi di supporto di terze parti. Ciò rende il software libero non più gratuito e, a lungo termine, spesso più costoso delle alternative commerciali.

Ovviamente, la necessità di supporto è diversa per le diverse classi di software. Un semplice word processor potrebbe non aver bisogno dello stesso supporto di una complessa soluzione di sicurezza IT. A causa della loro natura, gli scanner di vulnerabilità web potrebbero aver bisogno di supporto con problemi di configurazione iniziale e ancora più supporto se intendi automatizzare le attività e integrare gli strumenti con i tuoi ambienti attuali.

Senza supporto, gli strumenti di vulnerabilità web open source sono solo strumenti manuali di test della penna per i ricercatori della sicurezza: aiutano a identificare le minacce alla sicurezza ed è qui che finisce la storia.

Motivo 5. Falsi positivi in ​​uno scanner di vulnerabilità

I falsi positivi sono il più grande punto dolente della sicurezza delle applicazioni web. Questo perché la sicurezza delle applicazioni web si occupa principalmente di codice personalizzato. Se hai un falso positivo identificato da un test di vulnerabilità della rete, ciò non influisce sugli sviluppatori e di solito significa solo che le patch che applichi al software o ai dispositivi di rete non sono critiche. In uno scenario di sicurezza dell'applicazione web, puoi ricontrollare ogni vulnerabilità rilevata utilizzando uno scanner e consumare le risorse del team di test della penna oppure puoi rischiare che gli sviluppatori cerchino fantasmi, cercando di risolvere un problema che non esiste.

Ecco perché uno dei criteri più importanti per la selezione di uno scanner di sicurezza web è il modo in cui gestisce i falsi positivi. Se lo scanner può, in qualche modo, dimostrare che la vulnerabilità esiste, significa che il problema può andare direttamente allo sviluppatore per una soluzione: non è necessaria la conferma manuale. Gli scanner open source (e anche diversi prodotti commerciali) non hanno tali capacità. Ogni problema segnalato è solo una potenziale vulnerabilità, non reale. 

Peggio ancora, il problema dei falsi positivi non cresce solo in modo lineare con il numero di applicazioni web e lo sviluppo della tua attività. Più grande è la tua attività e più applicazioni hai, peggiore sarà l'impatto dei falsi positivi sulle tue risorse. Quindi, se stai guardando al futuro, semplicemente non puoi permetterti di utilizzare uno strumento che ostacolerà la tua crescita, come uno scanner di sicurezza web di base, manuale e open source.

Puoi permetterti gratuitamente?

Il software open source è un ottimo punto di partenza se sei uno studente, un ricercatore indipendente o una piccola start-up (ad esempio, se hai meno di 5 applicazioni web in totale). Tuttavia, se hai intenzione di crescere, prima o poi noterai che il software open source non è più sufficiente e anche se identifica le vulnerabilità della sicurezza web, non può aiutarti a risolverle. Infine, l'obiettivo della sicurezza delle applicazioni web non è quello di evidenziare le vulnerabilità, ma di eliminarle.


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23