Bộ công cụ bảo mật trực tuyến phải có mà chúng tôi tin rằng có thể tạo ra sự khác biệt thực sự cho chương trình an ninh mạng của bạn và cải thiện việc lập kế hoạch ngân sách năm 2021 của bạn.
Vào tháng 9, Gartner đã xuất bản một danh sách của “9 Xu hướng rủi ro và an ninh hàng đầu cho năm 2020” nhấn mạnh vào sự phức tạp và quy mô ngày càng tăng của bối cảnh mối đe dọa hiện đại.
Khả năng hiển thị không đầy đủ của các bề mặt Tấn công bên ngoài đã dẫn đến sự gia tăng đáng kể các vụ vi phạm và rò rỉ dữ liệu thảm hại trong năm 2020, ảnh hưởng đến PII và dữ liệu nhạy cảm khác của hàng triệu nạn nhân. Những sự cố này xuất phát từ sự xâm nhập tinh vi của các tổ chức quốc gia-nhà nước độc hại và các nhóm hack APT, lỗi của con người và cấu hình sai phổ biến làm lộ cơ sở dữ liệu hoặc lưu trữ đám mây không được bảo vệ với dữ liệu bí mật lên Internet.
Các nhà phân tích bảo mật của Gartner khuyên bạn nên tự động hóa các quy trình và nhiệm vụ bảo mật tốn nhiều công sức, trong bối cảnh tình trạng thiếu kỹ năng an ninh mạng đang diễn ra và giải quyết kịp thời các rủi ro bảo mật đám mây và vùng chứa đang nổi lên.
Gartner cũng khuyên bạn nên đặc biệt chú ý đến các yêu cầu về quyền riêng tư và quy định để tránh bị phạt khắc nghiệt và các biện pháp trừng phạt khác và bắt đầu triển khai mô hình zero-trust trong tổ chức của bạn bất kể quy mô của nó.
Trong khi đại dịch xoắn ốc đã mang lại tác động tàn khốc cho nhiều tổ chức và doanh nghiệp trên toàn cầu, hầu hết các công ty đã cố gắng hoặc chuyển quy trình kinh doanh của họ sang không gian kỹ thuật số không bị ảnh hưởng. Tuy nhiên, hầu hết các ngân sách an ninh mạng cũng bị tiêu tan do ảnh hưởng của cuộc suy thoái kinh tế nói chung. Ngân sách bị thu hẹp không có gì ngạc nhiên khi làm trầm trọng thêm quá trình chuyển đổi kỹ thuật số căng thẳng bằng cách coi thường hoàn toàn các thành phần bảo mật và quyền riêng tư của quy trình tinh vi.
Tuy nhiên, chi tiêu cho an ninh mạng được dự báo sẽ phục hồi và tăng đột biến trở lại vào năm 2021, mang lại sự cứu trợ cho các CISO bị ùn tắc và các nhóm Bảo mật CNTT đã kiệt sức của họ. Trong thời gian chờ đợi, chúng tôi muốn bạn làm quen với một bộ công cụ bảo mật miễn phí tuyệt vời mà chúng tôi tin rằng có thể tạo ra sự khác biệt rõ ràng cho chương trình an ninh mạng và kế hoạch ngân sách năm 2021 của bạn.
Tuần trước, công ty bảo mật ứng dụng ImmuniWeb đã công bố một cập nhật lớn của Phiên bản Cộng đồng có sẵn miễn phí của nó. Nó cung cấp 4 bài kiểm tra bảo mật miễn phí bao gồm nhiều ưu tiên bảo mật và quyền riêng tư được Gartner đề cập, đồng thời cung cấp một số khả năng mạnh mẽ để giám sát các sự cố bảo mật và các mối đe dọa mạng bên ngoài nhắm vào công ty của bạn.
Chúng tôi đã viết về ImmuniWeb trong số sáng tạo nhất các nhà cung cấp an ninh mạng chỉ sau Hội nghị RSA 2020. Kể từ đó, công ty dường như đã đạt được những tiến bộ ấn tượng trong nhiều hướng và lĩnh vực bảo mật thông tin mà chúng tôi theo dõi. Chúng tôi đã quyết định thử nghiệm ImmuniWeb Community Edition và khuyên bạn nên thử ngay bây giờ nếu bạn chưa quen với nó:
Kiểm tra tính tuân thủ và bảo mật của trang web
Đối với một số trường hợp sử dụng cụ thể, điều này kiểm tra bảo mật trang web cũng có thể thay thế một máy quét lỗ hổng thương mại trên web. Đáng chú ý, thử nghiệm miễn phí không xâm nhập và an toàn cho sản xuất – bạn sẽ không vô tình làm hỏng máy chủ web cũ hoặc ứng dụng web kế thừa của mình khi gửi RCE hoặc tải trọng khai thác tràn bộ đệm.
ImmuniWeb cho biết mô-đun Phân tích Thành phần Phần mềm (SCA) có cơ sở dữ liệu phong phú về phần mềm web đa dạng, trải dài từ WordPress và Drupal nguồn mở đến các sản phẩm web thương mại và độc quyền của Microsoft và Oracle. Theo báo cáo, mô-đun SCA bao gồm hơn 300 CMS và khuôn khổ web, 160.000 plugin và tiện ích mở rộng của chúng và 8.900 thư viện JavaScript. Trong khi cơ sở dữ liệu về lỗ hổng được nhúng của nó bao gồm hơn 12.000 lỗ hổng CVE:
Ngoài các lỗ hổng ứng dụng web và các bản cập nhật phần mềm bị thiếu, thử nghiệm miễn phí kiểm tra thêm xem cấu hình trang web của bạn có tuân thủ các yêu cầu cụ thể của GDPR và PCI DSS hay không:
Trong một thử nghiệm, bạn đồng thời có được bức tranh toàn cảnh về cách tăng cường bảo mật trang web của mình, cải thiện khả năng phục hồi của máy chủ web và nâng cao các yêu cầu tuân thủ và quyền riêng tư hiện hành.
Kiểm tra độ phơi sáng trên web tối và phát hiện lừa đảo
Nó dường như là một thứ vô giá công cụ miễn phí dành cho các Nhà phân tích mối đe dọa và Nhóm Xanh đang tìm cách tăng cường khả năng hiển thị của các sự cố bảo mật đang diễn ra, bao gồm các cuộc thảo luận trên Web đen và các đề nghị bán dữ liệu bị đánh cắp liên quan đến tổ chức của họ hoặc các nhà cung cấp chính của bạn.
Vì lý do pháp lý và quyền riêng tư, thử nghiệm miễn phí sẽ không tiết lộ chi tiết đầy đủ về các sự cố, chẳng hạn như mật khẩu văn bản rõ bị đánh cắp hoặc bản sao đầy đủ của cơ sở dữ liệu bị xâm phạm. Nhưng một cái nhìn tổng quan đủ chi tiết và có thể đo lường được luôn sẵn sàng để hỗ trợ và nâng cao quá trình ra quyết định của bạn trước khi đầu tư vào các giải pháp giám sát Dark Web:
Cũng như ảnh chụp nhanh toàn diện về Dark Web, bạn sẽ có được cái nhìn tổng quan khá tốt về rò rỉ Pastebin, các chiến dịch lừa đảo đang diễn ra, việc quản lý tên miền (ngồi xổm trên mạng và đánh máy) và thậm chí cả các tài khoản giả mạo trong các mạng xã hội chiếm đoạt danh tính của bạn:
Chúng tôi chắc chắn khuyên bạn nên sử dụng công cụ miễn phí hữu ích này cho chương trình Quản lý rủi ro bên thứ ba (TPRM) của bạn để chấm điểm các nhà cung cấp bên ngoài và các nhà cung cấp có đặc quyền truy cập vào dữ liệu bí mật của bạn.
Kiểm tra quyền riêng tư và bảo mật của ứng dụng dành cho thiết bị di động
Điều này kiểm tra bảo mật di động miễn phí hiện cho phép tải xuống các ứng dụng di động trực tiếp từ các Cửa hàng ứng dụng công cộng khác nhau trên Google Play và thậm chí bao gồm Cydia, vì vậy người dùng thiết bị iOS đã bẻ khóa cũng có thể kiểm tra các ứng dụng di động của họ để xem các lo ngại về quyền riêng tư và bảo mật:
Thử nghiệm di động thực hiện cả quét ứng dụng di động động (DAST) và tĩnh (SAST), làm sáng tỏ một loạt các lỗ hổng và điểm yếu trên thiết bị di động. Quá trình quét bao gồm 10 rủi ro hàng đầu trên thiết bị di động của OWASP và một số vấn đề bảo mật cụ thể được đề cập trong dự án Hướng dẫn kiểm tra bảo mật di động OWASP (MSTG):
Đặc biệt chú ý đến quyền riêng tư của ứng dụng dành cho thiết bị di động: bạn sẽ thấy danh sách bao gồm các quyền mà ứng dụng đã thử nghiệm yêu cầu cũng như các máy chủ và máy chủ web bên ngoài nơi ứng dụng di động gửi dữ liệu của bạn. Mô-đun Phân tích Thành phần Phần mềm (SCA) tích hợp của nó chiếu sáng các thư viện của bên thứ ba và bên thứ ba được sử dụng trong ứng dụng dành cho thiết bị di động.
Quan trọng là, do tính chất không xâm nhập của nó, máy quét di động miễn phí không bao gồm việc kiểm tra điểm cuối di động như API hoặc dịch vụ web, luôn phải có trong chương trình kiểm tra bảo mật di động của bạn.
Kiểm tra tuân thủ và bảo mật SSL
Không giống như nhiều dịch vụ cạnh tranh, điều này kiểm tra bảo mật SSL miễn phí cho phép kiểm tra không chỉ HTTPS ở khắp mọi nơi mà còn bất kỳ việc triển khai mã hóa TLS nào, bao gồm máy chủ email và SSL VPN:
Đối với máy chủ email, bài kiểm tra cũng kiểm tra SPF, DMARC và DKIM được định cấu hình đúng, thực tế là các phương pháp hay nhất phổ biến nhất để bảo mật email hiện nay.
Trên hết, thử nghiệm sẽ tự động thực hiện tự động phát hiện nhanh chóng các tên miền phụ kịp thời, nhắc nhở mọi người rằng không chỉ trang web “www” chính mới cần chú ý.
Quá trình kiểm tra xem xét tỉ mỉ tất cả các lỗ hổng mật mã hoặc triển khai SSL / TLS hiện đã biết, bao gồm Heartbleed, ROBOT, BEAST, POODLE và một tá lỗ hổng khác có thể cho phép đánh chặn hoặc giải mã dữ liệu của bạn trong quá trình truyền tải.
Một lợi ích đáng kể khác là ánh xạ cấu hình TLS của bạn với các yêu cầu cụ thể của PCI DSS, NIST và HIPAA, vì vậy bạn có thể xác minh xem cường độ mã hóa của mình có đáp ứng đúng các yêu cầu quy định hay không để tránh bị phạt do không tuân thủ:
Tất cả các bài kiểm tra đều có thể được làm mới và nếu bạn tạo tài khoản miễn phí, hãy tải xuống dưới dạng tài liệu PDF để bạn có thể chia sẻ nội bộ hoặc với khách hàng của mình để chứng minh rằng bạn quan tâm đến bảo mật dữ liệu của họ.
HTTPS được tăng cường thích hợp và trang web được bảo mật là một lợi thế cạnh tranh thuyết phục cho doanh nghiệp thương mại điện tử, đặc biệt là sau những câu chuyện hack ma quái về các chiến dịch hack hàng loạt vào Thứ Sáu Đen làm rỗng ví của những người mua sắm trực tuyến không chủ ý.
Trong khi thử nghiệm ImmuniWeb Community Edition, chúng tôi đặc biệt đánh giá cao khả năng đáp ứng của bộ phận hỗ trợ công nghệ của họ: chúng tôi đã phát hiện ra một vài lỗi nhỏ trong một trong các thử nghiệm đã được sửa ngay sáng hôm sau.
Trong email gửi cho chúng tôi, ImmuniWeb cho biết họ đã cẩn thận lắng nghe ý kiến của khán giả ngày càng tăng và muốn liên tục cải thiện Phiên bản cộng đồng dựa trên phản hồi và đề xuất đã nhận được. Bạn chỉ cần gửi cho họ một tin nhắn trực tiếp bằng cách sử dụng giao diện web, trở thành một phần của cộng đồng tuyệt vời hiện chạy hơn 100.000 bài kiểm tra hàng ngày.
ImmuniWeb Ấn bản cộng đồng các bài kiểm tra miễn phí có thể được truy cập bằng API hoặc thông qua giao diện web.
Đối với các tổ chức muốn chạy một số lượng lớn các bài kiểm tra mỗi ngày hoặc cho các nhà cung cấp bảo mật mạng muốn tận dụng năng lực kỹ thuật của ImmuniWeb Community Edition cho mục đích thương mại, cũng có một API cao cấp để mua trực tuyến.
Chúng tôi nghĩ rằng nhóm ImmuniWeb đang làm những điều khá thú vị và tuyệt vời mà chúng tôi thích. Chúng tôi mong muốn được chứng kiến sự tăng trưởng và phát triển của họ vào năm 2021: nó sẵn sàng đầy hứa hẹn.
