it-swarm-korea.com

좋은 웹 사이트 보안 검색 솔루션은 무엇입니까?

좋은 웹 기반 웹 사이트 보안 검색 솔루션은 무엇입니까? 웹 기반 솔루션이거나 로컬에서 실행할 수있는 소프트웨어인지 걱정하지 않아도됩니다.

일반적으로 고객에게 사이트가 안전하다는 인증을 제공하기 위해 실행할 수있는 것을 찾고 있습니다. 웹 기반 솔루션 중 일부는 자동화되어 보안 점검이 최신 상태임을 증명하는 '인감'을 제공 할 수 있다는 것입니다. 내가 본 것 중 하나의 예는 GoDaddy 웹 사이트 보호 사이트 스캐너

26
Doozer Blake

불행히도 최신 웹 응용 프로그램에서 모든 유형의 취약점을 감지하는 자동화 된 스캐너는 없습니다 (대개 50 % 미만으로 들립니다).

자동화 된 솔루션에만 의존하는 것은 단점이 있습니다. 자동화 된 스캐너는 쉬운 내용을 노출시킬 수 있지만 추가적인 취약점을 탐색하고 공개하려면 인간의 지능이 필요합니다.

이 말을 통해이 질문 (및 답변)을 참조하여 널리 사용되는 자동화 된 웹 응용 프로그램 취약성 평가 도구 목록을 볼 수 있습니다.

17
Tate Hansen

WASC (Web Application Security Consortium)에서 Web Application Security Scanner 목록을 확인하십시오. 필자는이 목록의 무료 오픈 소스 수동 취약성 스캐너 인 Watcher 의 저자 중 한 명입니다. 이 목록에는 소프트웨어 서비스 스캐닝 솔루션도 포함됩니다.

8
Weber

아마도 그것은 실제 아날로그에 대해 이야기하는 데 도움이 될 것입니다.

고객에게 오프라인 매장이 있다고 가정 해 보겠습니다. 안전한지 어떻게 확인합니까?

먼저 위협 모델을 이해해야합니다. 레모네이드 스탠드, 편의점 또는 보석 가게입니까? 모두 매우 다른 수준의 보안이 필요합니다.

그런 다음 해당 유형의 속성에 필요한 컨트롤을 구현해야합니다. 레모네이드 스탠드의 경우 간단한 래칭 낚시 상자 금전 등록기로 충분합니다.

마지막으로, 컨트롤이 작동하고 있는지 정기적으로 모니터링해야합니다. 은행 금고는 금이 간 것으로 예상됩니다. 완벽한 보안은 없으며 어떤 종류의 모니터링은 거의 항상 물리적 보안의 일부입니다. 보안 수준이 낮은 환경에서는 일반적으로 직원이 최소한 정기적으로 참석하여 발생합니다.

마찬가지로, 공급 업체 나 컨설턴트가 달리 지시 한 내용에 관계없이 응용 프로그램 보안에 모든 대답에 맞는 크기는 없습니다. 다음과 같은 세부 사항을 포함하여보다 구체적인 질문이있을 수 있습니다. 이러한 사이트는 지불을 처리합니까? 규제 요건이 있습니까? 신용 카드 데이터를 처리하는 경우 대답은 그렇습니다. 로그인이 있습니까? 어떤 개인 식별 데이터가 보호되고 있습니까? 기타...

7
spinkham

IT 보안에서 주제를 벗어나는 것은 '인증'은 책임 관점에서 매우 위험한 일입니다. '인증'서비스에 대한 작은 글씨를 잘 읽어보십시오. 필요할 때 일어 서십시오 (즉, 웹 사이트가 해킹 당하면 책임을 주장하거나 전달할 수 있음) 매우 놀랍습니다.

공급 업체가 제공하는 것이 훨씬 쉬운 것은 보안이 특정 시점에 얼마나 적절한 지에 대한 선언이므로 일반적으로 발생합니다.

이전 조직에서는 위험과 책임 문제가 심각하기 때문에 인증과 같은 것을 제공 할 경우 5-10 배의 비용을 청구 할 것으로 예상됩니다.

귀하와 귀하의 고객에게 인증이 얼마나 가치가 있습니까? 동료와 비교할 때 웹 사이트의 보안에 대해 조언하는 보고서를 받아 들일 수 있습니까?

6
Rory Alsop

현재 알고있는 웹 기반 웹 사이트 보안 스캐너에는 두 가지 유형이 있습니다.

  • 웹 사이트 및 웹 응용 프로그램 보안 결함을 찾는 사람
  • 웹 사이트에서 호스팅되는 멀웨어를 찾는 사람

Qualys는 상당히 표준화되어 있고 값이 싸고 (가득한 것에 따라) 서비스를 제공합니다. 그들의 스캔 중 어느 것도 고도로 발전하지 않았으며 실제 해커처럼 웹 사이트 또는 웹 응용 프로그램을 대상으로하지 않습니다. 실제 해커를 시뮬레이션 할 수있는 스캐너는 없습니다. Aprox와 같은 자동화 된 SQL 주입 공격을 시뮬레이트 한 몇 가지 봇이 있지만 이것은 현대의 도구 툴 툴 중 하나 일뿐입니다.

무료 서비스가 있지만 광택이 없습니다.

  • Qualys SSL Labs (SSL/TLS 보안 문제 만 검사)
  • ZeroDayScan (일부 웹 사이트 및 웹 응용 프로그램 보안 결함 만 검색)
  • nmask 기생충 (웹 사이트에 존재하는 맬웨어 만 검사)

웹 응용 프로그램 취약점에 대해 테스트, 평가 또는 감사하려는 웹 응용 프로그램이 실제 위험 분류를 가지고있는 경우 (예 : 공격 중이거나 과거에 공격을 받고 있거나 미래에 공격을 받거나 데이터 분류 (즉, 데이터를 서비스하거나 본질적으로 민감한 데이터를 처리/저장/전송)하는 경우 응용 프로그램 보안 컨설팅 회사에 문의하는 것이 가장 좋습니다. 추천이 좋으며 과거에 성공한 파트너와 협력하는 것이 좋습니다. 또한 특정 산업 분야 또는 상황에 맞는 비즈니스 파트너를 설립하는 것이 좋습니다. 좋은 것은 대부분 5-15 명의 직원/계약 업체가있는 소규모 보안 부티크이지만 회사 규모가 크면 소규모 회사와 업무를 조정할 큰 회사를 선택하는 것이 좋습니다.

공격을 받고 사고 관리에 도움이 필요한 경우 사고 대응 및 맬웨어 연구를 전문으로하는 유사한 부티크를 제안합니다. Gartner, Forrester Research 등과 같은 업계 분석가가 제공하는 정보에 대한 자세한 정보를 확인할 수 있지만 확실히 확인할 가치가있는 업계 분석을 전문으로하는 소규모 보안 부티크도 있습니다.

4
atdre

google list 를보고 싶을 것입니다. 그것은 주요 스캐너의 톤을 보여 주지만, 대부분의 자동화 된 스캐너는 모든 악용 사례를 테스트하지 못합니다. 실제 인간 테스트가 가장 좋습니다.

4
James T

상업용 및 오픈 소스 웹 응용 프로그램 스캐너를 매우 상세하게 비교할 수있는이 블로그 게시물 을 실행했습니다.

3
jrdioko