Il settore dell’e-commerce ha assistito a una crescita esponenziale negli ultimi anni, grazie ai progressi tecnologici che hanno esteso l’accesso a Internet a un numero sempre maggiore di persone, facilitando un incremento delle transazioni online.
Oggi, numerose aziende considerano i propri siti web come una fonte primaria di guadagno, rendendo cruciale la protezione di queste piattaforme online. Questo articolo esplora alcuni dei migliori strumenti VAPT (Vulnerability Assessment and Penetration Testing) basati su cloud disponibili, illustrando come startup e piccole/medie imprese possano trarne vantaggio.
Prima di addentrarci negli strumenti, è fondamentale che ogni imprenditore del web comprenda le distinzioni e le analogie tra Vulnerability Assessment (VA) e Penetration Testing (PT), per prendere decisioni informate sulla strategia di sicurezza più adatta alla propria attività. VA e PT, pur essendo complementari, si differenziano per gli obiettivi specifici.
Differenze tra Vulnerability Assessment e Penetration Testing
Il Vulnerability Assessment (VA) si concentra sull’individuazione, la classificazione e la priorizzazione di tutte le vulnerabilità presenti in un’applicazione, sito web o rete. Questo processo, spesso definito “orientato alla lista”, si avvale di strumenti di scansione che analizzeremo più avanti. L’importanza del VA risiede nella sua capacità di fornire alle aziende una panoramica chiara delle lacune di sicurezza e delle aree che richiedono interventi correttivi. Inoltre, le informazioni ottenute tramite il VA sono essenziali per la configurazione di firewall e WAF (Web Application Firewall).
Il Penetration Testing (PT), d’altro canto, è un’attività “orientata all’obiettivo” che non si limita all’identificazione delle vulnerabilità, ma si spinge fino al loro sfruttamento. L’obiettivo è simulare attacchi informatici reali all’applicazione o al sito web, utilizzando sia strumenti automatizzati che tecniche manuali. Questo permette alle aziende di comprendere il livello di rischio associato a ciascuna vulnerabilità e di adottare le misure di protezione più efficaci.
In sintesi, il Vulnerability Assessment fornisce le basi per il Penetration Testing. Pertanto, è auspicabile disporre di strumenti completi che supportino entrambe le attività.
Esaminiamo ora le opzioni disponibili…
Astra
Astra è uno strumento VAPT completo basato su cloud, particolarmente indicato per l’e-commerce. Supporta piattaforme come WordPress, Joomla, OpenCart, Drupal, Magento e PrestaShop. Offre una suite di test di sicurezza per applicazioni, malware e reti, utili per valutare la protezione di un’applicazione web.
L’intuitiva dashboard di Astra fornisce un’analisi grafica delle minacce bloccate, ordinate cronologicamente.
Tra le caratteristiche principali:
- Analisi statica e dinamica del codice dell’applicazione
Astra esegue un’analisi statica e dinamica del codice, verificando le applicazioni sia prima che durante l’esecuzione per identificare e risolvere le minacce in tempo reale. Il sistema esegue anche una scansione automatica alla ricerca di malware noti, procedendo alla loro rimozione. Analogamente, vengono controllate le modifiche ai file per garantire l’integrità del sistema e rilevare modifiche maligne, sia interne che esterne. La sezione dedicata alla scansione malware fornisce informazioni utili sulla presenza di software malevoli sul sito.
Astra offre anche la registrazione e l’identificazione automatica delle minacce, consentendo di comprendere meglio quali aree dell’applicazione sono più vulnerabili e quali sono più spesso sfruttate.
- Test dell’infrastruttura e dei gateway di pagamento
Astra conduce test di penetrazione sui gateway di pagamento per applicazioni che integrano sistemi di pagamento, oltre a test dell’infrastruttura per garantire la sicurezza del sistema di archiviazione dei dati. Lo strumento esegue inoltre test di penetrazione sulla rete, inclusi router, switch, stampanti e altri nodi che potrebbero esporre l’azienda a rischi interni.
I test di Astra sono conformi ai principali standard di sicurezza, tra cui OWASP, PCI, SANS, CERT e ISO27001.
Invicti
Invicti è una soluzione di livello enterprise, ideale per medie e grandi aziende, che offre una serie di funzionalità. La sua tecnologia di scansione, chiamata Proof-Based-Scanning™, è rinomata per la sua automazione e integrazione.
Invicti vanta numerose integrazioni con strumenti di gestione dei problemi come Jira, Clubhouse, Bugzilla e AzureDevops, oltre a sistemi di project management come Trello. Si integra anche con sistemi di Continuous Integration (CI) come Jenkins, Gitlab CI/CD, Circle CI e Azure. Questa flessibilità permette a Invicti di essere incorporato nel ciclo di vita dello sviluppo software (SDLC), consentendo di includere controlli di vulnerabilità nelle pipeline di build prima dell’implementazione.
La dashboard di intelligence di Invicti fornisce informazioni dettagliate sui bug di sicurezza presenti nell’applicazione, sul loro livello di gravità e sulla loro risoluzione. Presenta inoltre informazioni sulle vulnerabilità derivanti dalle scansioni e sulle potenziali lacune di sicurezza.
Tenable
Tenable.io è uno strumento di scansione di applicazioni web adatto alle aziende, che fornisce informazioni dettagliate sulla sicurezza di tutte le applicazioni web implementate.
Tenable.io è semplice da configurare e utilizzare. A differenza di altri strumenti che si concentrano su una singola applicazione, Tenable.io è in grado di analizzare tutte le applicazioni web di un’azienda.
Le scansioni di vulnerabilità si basano sulle principali vulnerabilità OWASP Top Ten, facilitando la comprensione dei risultati da parte degli specialisti di sicurezza. È possibile programmare scansioni automatiche per evitare il compito ripetitivo della scansione manuale.
Pentest-Tools offre uno scanner che fornisce informazioni complete sulle vulnerabilità di un sito web.
Il sistema copre una vasta gamma di vulnerabilità, tra cui Web fingerprinting, SQL injection, cross-site scripting, remote command execution e file inclusion. È disponibile una versione gratuita con funzionalità limitate.
I report generati mostrano i dettagli del sito web analizzato e delle vulnerabilità rilevate, classificate in base alla loro gravità. L’immagine qui sotto mostra un report di scansione “Light” gratuito.
Con l’account PRO, è possibile selezionare la modalità di scansione desiderata.
La dashboard è intuitiva e offre una panoramica completa di tutte le scansioni effettuate e dei relativi livelli di gravità.
È possibile programmare la scansione delle minacce. Lo strumento dispone di una funzione di reporting che consente di generare report di vulnerabilità basati sulle scansioni condotte.
Google SCC
Il Security Command Center (SCC) è una risorsa di monitoraggio della sicurezza per Google Cloud.
SCC consente agli utenti di Google Cloud di impostare il monitoraggio della sicurezza per i loro progetti, senza richiedere strumenti aggiuntivi.
SCC integra una serie di sorgenti di sicurezza native, tra cui:
- Cloud Anomaly Detection: utile per rilevare pacchetti di dati anomali generati da attacchi DDoS.
- Cloud Security Scanner: utile per individuare vulnerabilità come Cross-site Scripting (XSS), utilizzo di password non crittografate e librerie obsolete nelle app.
- Cloud DLP Data Discovery: elenca i bucket di archiviazione che contengono dati sensibili o regolamentati.
- Connettore Forseti Cloud SCC: permette di sviluppare scanner e rilevatori personalizzati.
SCC include anche soluzioni di partner, come CloudGuard, Chef Automate, Qualys Cloud Security e Reblaze, che possono essere integrate nel sistema.
Conclusioni
La sicurezza dei siti web è un problema complesso, ma gli strumenti disponibili oggi rendono più semplice identificare le vulnerabilità e mitigare i rischi online. Se non lo hai già fatto, considera l’utilizzo di uno degli strumenti descritti per proteggere la tua attività online.