Revisão e classificação Immuniweb

Se a sua empresa depende do seu site - como a maioria das empresas -, você deve isso a si mesmo para garantir que não esteja cheio de falhas de segurança. O ImmuniWeb, um scanner de código da High-Tech Bridge, fornece às pequenas empresas uma avaliação completa da vulnerabilidade para descobrir problemas no site por um preço acessível de US $ 639 (direto).

Há muitos motivos para segmentar sites. Os criminosos cibernéticos podem tentar corromper seu site com malware que infectaria os visitantes e roubaria suas credenciais bancárias online. Talvez alguém não goste do seu negócio e queira desfigurar o seu site. Talvez os invasores estejam atrás dos valiosos dados armazenados em seu banco de dados e o site seja uma maneira fácil. Independentemente disso, os sites estão cada vez mais sob ataque e as empresas precisam garantir que falhas de segurança não corrigidas e erros de configuração não facilitem as coisas ruins. caras para passear.

Os avaliadores da High-Tech Bridge usam o scanner ImmuniWeb para executar uma verificação automática ou manual. Eles fornecem todos os resultados em um relatório abrangente, além de recomendações sobre como corrigir os problemas que descobrirem. Os relatórios são fáceis de ler e bastante detalhados. Dependendo da natureza do seu negócio, o relatório final da ImmuniWeb pode parecer um pouco imprevisível, mas, em geral, obter essa avaliação de base é simples e útil. Muitas pequenas empresas pensam que a avaliação da vulnerabilidade é algo para os "grandes" se preocuparem, mas o ImmuniWeb mostra que as organizações menores também podem levar a sério a segurança.

O objetivo principal do ImmuniWeb é examinar um site de produção. Reunir um site de teste não faria sentido porque o site não seria robusto o suficiente e os resultados seriam artificiais. Entrei em contato com duas pequenas empresas - muito diferentes umas das outras - que concordaram em fazer uma avaliação do ImmuniWeb, desde que tivessem a oportunidade de ver os relatórios resultantes e corrigir os problemas. No primeiro site, os usuários podiam comprar livros, assistir a vídeos e participar de um fórum da comunidade. O segundo site foi baseado no WordPress e contou com postagens de artigos, videoclipes e podcasts.

ImmuniWeb Portal

O Portal ImmuniWeb é o centro de todas as comunicações com a equipe de avaliação. Eu me inscrevi em uma conta, especifiquei o URL do site e forneci informações básicas. Embora houvesse uma seção para opções avançadas (como dizer se partes do site estavam ou não ocultas atrás de um prompt de login), não me importei com nada disso: apenas meus detalhes de contato, informações de pagamento e seleção de uma data no calendário para iniciar a avaliação. É tão fácil.

No geral, o portal parece um pouco datado e não é tão liso quanto você espera que os aplicativos da Web sejam, mas, por outro lado, é fácil de navegar e faz exatamente o trabalho para o qual foi projetado. Vi o status da avaliação e recebi alertas quando a equipe do ImmuniWeb enviou uma mensagem. Eu poderia agendar várias avaliações e acompanhar cada uma separadamente. Eu também poderia fazer o download dos relatórios assim que eles fossem concluídos.

Havia uma peculiar peculiaridade que me irritou. O menu suspenso prefixo, que era um campo obrigatório, não forneceu uma opção para "Sra." Just Miss ou Mrs. Então, durante a resenha, eu fui um "Prof."

A Avaliação ImmuniWeb

Recebi uma notificação por e-mail quando o teste foi iniciado e novamente quando ele foi concluído. Também fui avisado de que o site teria que permitir o acesso a vários endereços IP. Demorou um dia ou dois para o relatório estar pronto. Apreciei a comunicação regular.

Para a primeira avaliação, o site em questão (o site da livraria) estava hospedado no Amazon EC2 e o ImmuniWeb Scanner não pôde vê-lo. Pode haver vários motivos para isso, como um sistema de detecção de intrusão que bloqueia o acesso ou outro sistema que restringe a verificação automática. A equipe mudou para uma avaliação manual e terminou sem que eu tivesse que fazer nada. O scanner não teve problemas para visualizar o segundo site (o blog WordPress), também em uma plataforma em nuvem.

Os administradores do site disseram que não houve blips ou problemas com o desempenho do site durante o curso da avaliação. Isso é muito bom, porque a última coisa que uma empresa deseja é lidar com o tempo de inatividade.

Os resultados do relatório

Quando os relatórios estavam prontos, baixei-os para ver como os sites se saíram. Nenhum dos sites apresentava falhas críticas, o que era um alívio, mas ambos apresentavam alguns problemas de média e baixa prioridade. Para algumas áreas, a avaliação parecia um pouco alto, pois o relatório não continha uma análise mais profunda, como a vulnerabilidade a ataques de força bruta. No geral, o relatório abordou muitos aspectos básicos, mas algumas das entradas individuais pareceram um pouco complicadas e um sucesso ou um fracasso para a organização. Havia coisas sinalizadas como problemas que claramente não eram quando considerados no contexto dos negócios ou na arquitetura do site.

Por exemplo, o site da livraria tinha elementos de comércio eletrônico e wiki, e o relatório repetia o site repetidamente pelo fato de alguém poder criar uma página - o recurso mais básico de um wiki. Seria bom se houvesse uma maneira de especificar certas coisas que deveriam ser deixadas de fora do relatório, principalmente porque o site havia sido verificado manualmente. Em vez disso, o ImmuniWeb adotou uma abordagem de tamanho único e não levou em consideração que a capacidade de criar uma página era um recurso, não um problema, neste caso. Preocupa-me que as pequenas empresas não tenham paciência para examinar o relatório procurando problemas reais se forem confrontados com entradas que não correspondem ao seu caso de uso.

Outro "problema" foi o fato de os dois sites verificados exibirem alguns endereços de email em suas páginas, como para a equipe de marketing, vendas e até o CEO. O scanner não diferenciava entre um endereço de email genérico de que os clientes precisam entrar em contato com a empresa e um possível problema de dados. Novamente, é pedir muito de um sistema automatizado, mas contribui para um relatório lotado.

Por outro lado, para o site WordPress, a ImmuniWeb identificou que o site, baseado no WordPress, tinha uma vulnerabilidade de injeção SQL de alto nível. A maioria das plataformas de avaliação de vulnerabilidades fornece o identificador CVE (Common Vulnerabilities and Exposures) e um link para uma descrição do problema, e cabe ao administrador do site descobrir onde está o problema e como corrigi-lo. Não ImmuniWeb. O relatório deu instruções muito claras para o administrador do WordPress: atualize o plug-in AdRotate. Esse é exatamente o tipo de detalhe de correção que os administradores não técnicos precisam, e a ImmuniWeb conseguiu fornecer essas informações.

Os relatórios também contêm informações sobre a configuração SSL do site e se os invasores controlam domínios com sons semelhantes. Para algumas empresas, esse último detalhe é útil.

Um bom passo em frente

Para a maioria das empresas, o ImmuniWeb é um bom começo. Se você não tem idéia de como é sua imagem de segurança, vale a pena fazer essa avaliação - especialmente pelo preço eminentemente acessível de US $ 639. Embora você ainda precise fazer algumas considerações sobre quais partes do relatório são relevantes para os seus negócios, as informações fornecidas são fáceis de ler e entender, que os administradores não técnicos apreciarão.