El escaneo de vulnerabilidades y las pruebas de penetración son componentes esenciales de las pruebas de seguridad de las aplicaciones. Estos esfuerzos requieren que las organizaciones escaneen los sitios web de acceso público y privado, las aplicaciones críticas y los puntos finales utilizando herramientas de escaneo para proteger la información financiera, de identificación personal, de propiedad y privilegiada. El objetivo de estas pruebas es identificar vulnerabilidades tales como problemas de encriptación, configuraciones erróneas, parches faltantes y vulnerabilidades de aplicaciones tales como inyección SQL, cross-site scripting, vulnerabilidades de OWASP Top 10, que pueden comprometer datos privados.
Estos motores de escaneo trabajan contra una lista conocida de explotaciones comunes como las definidas por OWASP y otras. Las explotaciones definidas por OWASP (como OWASP Top 10) utilizan diversas técnicas como inyección SQL, cross-site scripting (XSS), ataque hombre en el medio (MITM) e inyección de malware para hackear aplicaciones web y sitios web vulnerables con el fin de exfiltrar datos, engañar a los usuarios o sistemas para que proporcionen información sensible o interrumpir el rendimiento de la aplicación.
El resultado de las herramientas de escaneo proporciona una lista de URL vulnerables que se pueden parchear en el desarrollo o importar en los dispositivos WAF y WAAP para protegerse de los intentos de piratería. El firewall de aplicaciones web (WAF) de Radware fue el primero en ofrecer una solución de parches de seguridad en tiempo real para aplicaciones web en entornos de implementación continua de aplicaciones a través de una estrecha integración con soluciones de pruebas de seguridad de aplicaciones dinámicas (DAST). La integración entre las soluciones DAST y el WAF/WAAP de Radware permite automatizar y acelerar la aplicación de parches virtuales contra las vulnerabilidades conocidas de las aplicaciones web.
Las herramientas de escaneo de vulnerabilidades son costosas y las pruebas adecuadas requieren experiencia en seguridad. Como parte de su WAF, Radware incluye un motor de escaneo para generar automáticamente una política de seguridad para proteger las aplicaciones web. El módulo de generación automática de políticas está incluido en Radware y utilizará automáticamente el filtro de seguridad requerido, creará reglas de filtro de seguridad y cambiará los filtros de seguridad al modo activo. Las organizaciones pueden utilizar la generación automática de políticas incorporada con los motores de escaneo de vulnerabilidades y las herramientas DAST, el descubrimiento de API y los modelos de seguridad negativos y positivos de Radware WAF para proteger las API y las aplicaciones.
Características y comparación del analizador de vulnerabilidad de aplicaciones
| |
Radware |
WAF basado en CDN |
WAF nativo de nube pública |
WAAP basado en software |
| Modelo de seguridad negativa e integración con las herramientas de escaneo |
Sí |
Sí |
Sí |
Sí |
| Integración con DAST |
Sí |
No |
No |
Sí |
| Modelo de seguridad positiva |
Sí |
No |
No |
Sí |
| Escaneo de vulnerabilidades y generación automática de políticas |
Sí |
No |
No |
No |
| Hallazgo de API |
Sí |
No |
No |
Quizá |
Recursos adicionales