¿Cuál es la mejor herramienta para escanear un sitio web en busca de vulnerabilidades?

Neil K. Jones, gerente de segmento de mercado de IBM:

“Cuando leí esta pregunta, mi impresión inmediata fue la siguiente: si está pensando en este tema en términos de ‘herramientas’ y ‘análisis de seguridad de aplicaciones’, entonces necesito alentarlo a que piense mucho más. ¿Porqué es eso? Es porque la forma más efectiva de abordar las vulnerabilidades del sitio web es adoptar un enfoque basado en la gestión de riesgos para las pruebas de seguridad de las aplicaciones, no viendo el programa de pruebas de seguridad de las aplicaciones como una serie de “escaneos” ocasionales completados por las “herramientas” de software más populares en El mercado. Los hackers de hoy son mucho más sofisticados que eso.

Por supuesto, mejorar tu decisión es más fácil decirlo que hacerlo. ¿Entonces por donde empiezas? Siguiendo los 4 pasos directos a continuación:

1) Familiarícese con el concepto de gestión de riesgos de AppSec: mi empresa ofrece una guía electrónica conveniente y completa que lo guía a través de 5 pasos fundamentales necesarios para lograr una gestión de seguridad de aplicaciones basada en riesgos. Le animo a que lo lea y luego lo comparta con colegas que también se beneficiarán de la información.

2) Investigue a los principales actores en el mercado de seguridad de aplicaciones: varios analistas importantes de la industria cubren el mercado de seguridad de aplicaciones. Puede acceder a copias gratuitas del Cuadrante Mágico de Gartner 2017 para Pruebas de Seguridad de Aplicaciones y The Forrester Wave: seguridad de la aplicación, cuarto trimestre de 2014 haciendo clic en los enlaces que he proporcionado. Al hacerlo, aprenderá más sobre las capacidades de los proveedores de tecnología en este mercado competitivo y de rápido crecimiento.

3) Leer y compartir mi blog, “ 5 pasos críticos para seleccionar eficazmente un proveedor de seguridad de aplicaciones “. Mi blog le proporciona una serie de pasos sencillos que puede seguir para tomar una decisión informada sobre el mejor proveedor de aplicaciones para su organización.

4) Pruebe las pruebas automatizadas de seguridad de aplicaciones para usted mismo. ¿Cuál es la mejor manera de aprender algo? Al hacerlo, por supuesto! Puede probar IBM Application Security on Cloud , la solución de IBM basada en la nube para realizar pruebas de seguridad de aplicaciones estáticas, dinámicas y móviles, haciendo clic en el enlace que proporcioné. También puede probar IBM Security AppScan Source, la solución SAST probada en la industria de IBM, siguiendo el otro enlace que le proporcioné. ¿Y adivina qué? Nuestras dos pruebas se le ofrecen de forma gratuita.

¡Siguiendo estos 4 pasos, debe estar en el camino hacia el éxito de appsec! Como siempre, me complace responder cualquier pregunta de seguimiento que pueda tener ”.

Cualquier información que proporcione IBM no es asesoramiento legal.

Related Content

¿Cuáles son los problemas legales con la publicación de grabaciones de música en línea?

¿Cuál es la diferencia entre '.in' y '.com' en cualquier sitio web?

¿Es necesario tener una sección de comentarios en mi sitio web?

¿Cuál es el costo promedio (por año) requerido para ejecutar un sitio web, incluidos todos los cargos?

¿Qué herramientas o sitios web utiliza y con qué propósito?

El mejor escáner de sitios web es un escáner de código de análisis estático. No soy parcial en este sentido porque mi empresa ofrece escaneo dinámico de sitios web y análisis de código estático. Vendemos ambos por un precio único y usted es libre de usar uno u otro.

El análisis de código estático tiene la ventaja de inspeccionar el código en el que se ejecuta el sitio web. Esto le da a la inspección de vulnerabilidades 100% de cobertura de código. Un problema importante con el escaneo dinámico del sitio web es la cobertura del código. Si está cubriendo el 50-60% de la base del código, está perdiendo una gran cantidad de vulnerabilidades. Cuanto más compleja sea la IU para su aplicación Web 2.0 AJAX, es menos probable que obtenga una cobertura dinámica.

Algunos escáneres de análisis estático para los idiomas y plataformas en los que están escritas las aplicaciones web son: Veracode (descargo de responsabilidad: mi empresa), IBM AppScan, HP Fortify y Coverity. Microsoft tiene FXCop si está utilizando .NET.

Puede estar pensando que debe haber algunas desventajas en el análisis de código estático. Todos están haciendo un escaneo web dinámico. Sí, es cierto. Hay algunas ventajas en el escaneo dinámico. Uno es el entorno en el que se ejecuta la aplicación web se tiene en cuenta. Cualquier mitigación a nivel de red o host que impida que un atacante llegue a algún código incorrecto será parte del análisis. Esto reducirá los falsos positivos que son problemas que informará el análisis de código estático. Me gusta decir que la proporción de vulnerabilidades accionables será mayor con el escaneo web dinámico. Pero si buscas la mejor seguridad, tomarás esta desventaja del escaneo estático para que puedas encontrar todas las vulnerabilidades. Hay un inconveniente más en el análisis de código estático. Debe comprender el idioma / plataforma en la que está codificando. Quizás estás usando Ruby o un lenguaje bastante nuevo. Debe asegurarse de que su analizador estático lo admita. El escaneo web dinámico no tiene esa limitación. Si es una aplicación web, puede escanearla.

Una gran ventaja del análisis de código estático es que no necesita esperar hasta que la aplicación se implemente en un entorno de ensayo con datos de prueba. Puedes probar el código. Esto hace que encontrar vulnerabilidades sea más rápido y más barato.

Por lo general, recomiendo ambos tipos de escaneos; estática durante la implementación y dinámica una vez que la aplicación web se puede implementar en un entorno de ensayo. Pero si tuviera el presupuesto y el tiempo para elegir uno, sería un análisis de código estático.

Chris Wysopal

More Interesting

Estoy trabajando en un nuevo sitio web de inicio para descubrir nuevos destinos en todo el mundo. ¿Cuál sería un nombre apropiado para esa startup?

¿De qué sirve crear un sitio web?

¿Cómo determina un navegador qué ruta solicitar al ingresar a un sitio web? ¿Y cómo sabe si descargar imágenes o no?

¿Los diseños de Facebook, Twitter y Quora son lo suficientemente originales como para recibir protección contra imitadores?

Cómo obtener contenido para mi sitio web

¿Qué opinas sobre Discourse.org?

¿Hay alguna forma de revivir mi sitio web que haya sido eliminado y no respaldado por mi proveedor de hosting?

¿Cuánto cuesta un sitio web en Indonesia?

¿Qué es un sitio web de contenido? ¿Puede una startup ser un sitio web de contenido y en qué consistiría ese sitio web?

Quiero hacer un sitio web dinámico. ¿Qué idiomas debo saber?

Tengo un nombre de sitio web que quiero tener. ¿Cómo hago para hacer eso?

¿Cuáles son los usos de los sitios web?

Sayat.me está caído, ¿hay otros sitios que hagan lo mismo?

¿Qué herramienta se debe utilizar para optimizar la velocidad del sitio web?

¿Cuánto tiempo llevará crear un sitio web como Paytm con la misma funcionalidad? ¿Cuál es el costo exacto?