Yrityksen turvallisuus ei ole asia, johon voi suhtautua kevyesti. Tiedämme jo, miten arvokasta kyberturvallisuudesta on nykypäivän yhteiskunnassa tullut. Vastineeksi tälle kaupallisilla markkinoilla on käytettävissä monia työkaluja. Acunetix on yksi näistä. Mutta mikä Acunetix on? Mitä se tekee puolestanne? Tässä tarvitsemanne tiedot.
Mikä on Acunetix?
Nick Galea perusti Acunetixin vuonna 2005. Se lanseerattiin aikana, jolloin suurin osa yrityksistä keskittyi tietoverkkojen suojaamiseen verkkosovellusten turvaamisen sijaan. Tavoitteenaan taistella verkon haavoittuvuuksia vastaan, Acunetix pyrki tarjoamaan automatisoidun työkalun verkkosovellusten skannaamiseen turvallisuusongelmien tunnistamiseksi ja ratkaisemiseksi. Yksinkertaisesti ilmaistuna Acunetix on kaikenkattava verkkosivustojen turvallisuusskanneri.
Haavoittuvuusskanneri tehtiin alun perin Windowsille. Vuonna 2014 Acunetix toi tarjolla online-version, ja Linux-version vuonna 2018. Vuosien mittaan yritys on kasvattanut palveluitaan. Tällä hetkellä Acunetix palvelee yli 6 000 yritystä ympäri maailman.
Mihin Acunetix pystyy?
Acunetix sisältää melko monta ominaisuutta yrityksille.
Haavoittuvuusskanneri
Pilvipalvelut ja selainteknologia ovat kasvaneet merkittävästi viime aikoina. Liiketoiminnassa nämä ovat usein elintärkeitä komponentteja. Juuri siksi tämä osa-alue on myös valtavan suuri kohde. Hakkerit keskittyvät edelleen tähän osa-alueeseen.
Kyllä, palomuureista ja SSL-suojauksista voi olla apua verkkosovellusten turvallisuuden pönkittämisessä. Nämä ovat kuitenkin vain perustoimenpiteitä. Riippumatta HTTP:stä tai HTTPS:stä, hakkerit suorittavat silti verkkohyökkäyksiä. Acunetixin mukaan sen haavoittuvuusskanneri kykenee havaitsemaan yli 4 500 verkkosovellusten haavoittuvuutta. Se voi myös skannata avoimen lähdekoodin ohjelmistoja sekä räätälöityjä sovelluksia.
Acunetixin haavoittuvuusskanneri sisältää DeepScan-toiminnon. Tämä mahdollistaa runsaasti AJAX-tekniikkaa sisältävien yhden sivun asiakassovellusten indeksoinnin. AcuSensor yhdistää black box -skannaustavan lähdekoodin sisälle asetettujen sensorien antamaan palautteeseen. Yritys väittää myös, että se tarjoaa “alan edistyneintä SQL-injektiota ja Cross-site Scripting (XSS) -testausta, mukaan lukien DOM-pohjaisen XSS:n edistynyttä paljastamista”. Lisäksi sen Login Sequence Recorder mahdollistaa monimutkaisilla salasanoilla suojattujen alueiden automaattisen skannauksen.
Mutta ei tämä tähän lopu. Haavoittuvuusskanneri pitää sisällään myös haavoittuvuuksien hallintaan tarkoitetun työkalun. Tämä tarjoaa monia teknisiä ja vaatimustenmukaisuutta koskevia raportteja.
Tunkeutumistestiohjelmistot
Puhuimme aiemmin tunkeutumistesteistä. Acunetixin valikoimasta löytyy automatisoitu tunkeutumistestityökalu. On toki totta, että manuaalinen testaaminen tarjoaisi organisaatiolle perusteellisemman turvallisuusarvion, mutta useimmiten se on aikaa vievää ja kallista. Siksi automaattisten tunkeutumistestityökalujen, kuten Acunetixin verkkohaavoittuvuusskannerin, käyttö on paljon tehokkaampaa.
Acunetix antaa turvallisuushenkilökunnalle mahdollisuuden tehdä testejä SQL-injektioiden, Cross-Site Scriptingin ja muiden haavoittuvuuksien varalta. Se mahdollistaa myös aikataulutetut automaattiset skannaukset. Lisäksi se kykenee tarjoamaan täyden tuen nykyaikaisille SPA-sovelluksille (Single Page Applications).
Tämän ohjelman tunkeutumistestityökalut kykenevät ymmärtämään ja testaamaan sovelluksia, jotka ovat riippuvaisia JavaScript-sovelluskehyksistä, kuten Angular ja React. Tämä tarkoittaa siis sitä, että tunkeutumistestityökalut pystyvät skannaamaan kaiken perinteisiin pinoihin pohjautuvista legacy-verkkosovelluksista aina nykyaikaisiin verkkosovelluksiin.
Raportointiominaisuus on myös yrityksille arvokas lisä. Ohjelmisto kykenee luomaan laajan valikoiman erilaisia raportteja, kuten PCI DSS, HIPAA, OWASP Top 10, jne. Lisäksi käyttäjä voi huomattuaan haavoittuvuuden ilmoittaa asiasta ongelman seuraajille, kuten Atlassian JIRA, GitHub ja Microsoft Team Foundation Server.
Verkkosovellusten turvallisuus
Kun kyse on verkkosovellusten turvallisuudesta, yksi ensimmäisistä tehtävistä asioista on suorittaa skannaus tunnettujen haavoittuvuuksien varalta. Acunetix mahdollistaisi tunnettujen haavoittuvuuksien helpon ja nopean tunnistamisen. Tämä pitää sisällään myös HTML5- ja JavaScript SPA-sovellusten avulla luodut sivustot, joiden skannaaminen voi joskus olla vaikeaa.
Mitä testaustapoihin tulee, Acunetix ei ole rajoitettu black box -testaamiseen. Acunetixin moniin elementteihin sisältyy AcuSensor grey box -skannausteknologia. Tämä antaa käyttäjälle mahdollisuuden arvioida automaattisesti käytettyä Java-, ASP.NET- ja PHP-palvelimen koodia.
Tietoverkon turvallisuusskanneri
Kun puhutaan tietoverkon turvallisuudesta, turvattomat verkostorajat ovat edelleen monien tietomurtojen syynä. Niinpä tämä työkalu auttaa käyttäjiä löytämään avoimia portteja ja käynnissä olevia palveluita, sekä testaamaan yli 50 000 tunnetun tietoverkkohaavoittuvuuden ja virheellisen kokoonpanon osalta. Acunetix antaa myös käyttäjälle mahdollisuuden analysoida reitittimien, kytkinten, kuormituksen tasaajien ja muiden vastaavien turvallisuutta. Lisäksi tietoverkon turvallisuusskanneri on varustettu muutamalla muullakin ominaisuudella, kuten seuraavien seikkojen testaaminen:
- heikot salasanat: FTP, IMAP, tietokantapalvelimet, POP3, Socks, SSH ja Telnet
- heikosti määritetyt välityspalvelimet
- anonyymi FTP-käyttö sekä kirjoitettavat hakemistot FTP:n välityksellä
- heikot TLS/SSL-koodit
WordPress-haavoittuvuusskanneri
WordPress on yksi nykypäivän suosituimmista sisällönhallintajärjestelmistä. Joidenkin tietojen mukaan tällä hetkellä toiminnassa on noin 75 000 000 WordPress-sivustoa. Järjestelmän monet toiminnot, kuten liitännäiset, teemat ja käyttäjäystävällinen sisällönhallinta tekevät WordPressistä monen ihmisen ykkösvalinnan. Ikävä kyllä tämän vuoksi WordPress on myös hakkereille lupaava kohde. Tässä kohtaa kuvaan astuu Acunetix WordPress-haavoittuvuusskanneri. Yrityksen mukaan se kykenee:
- havaitsemaan vanhentuneet WordPress-versiot, sisältäen WordPress-perusohjelman sekä liitännäiset, joilta puuttuu kriittisiä turvallisuuskorjauksia
- tunnistamaan haittaohjelmia, jotka joskus naamioituvat WordPress-teemoiksi ja kolmannen osapuolen liitännäisiksi
- havaitsemaan WordPress-käyttäjänimiä, joita voidaan käyttää tilien vaarantamiseen
- löytämään julkisesti tiedossa olevia wp-config.php-tiedostoja
- tunnistamaan, onko järjestelmä haavoittuvainen XML-RPC-väsytyshyökkäyksille
Pitäisikö sinun siis harkita Acunetixin käyttöä?
Yrityksen itsensä mukaan kolme seikkaa saa yrityksen tarjonnan erottumaan joukosta:
- Kyseessä on täysin automatisoitu työkalu, joka vapauttaa turvallisuustiimin resursseja. Se antaa hyvin vähän vääriä osumia, joten tiimisi ei tarvitse haaskata aikaa olemattomien ongelmien löytämiseen.
- Se voi havaita haavoittuvuuksia, jotka jäisivät muilta teknologioilta huomaamatta, sillä se yhdistää parhaat dynaamiset ja staattiset skannausteknologiat ja hyödyntää erillistä valvontaohjelmaa.
- Se tarjoaa haavoittuvuuksien hallintatyökalun ja vaatimustenmukaisuutta käsittelevän raporttitoiminnon. Voit luokitella, järjestää ja testata ongelmia uudelleen. Voit myös integroida ohjelmaan ongelmien seurantaohjelmia sekä jatkuvan integraation ratkaisuja.
Kunnianosoitusten osalta todettakoon, että Gartner antoi Acunetixille arvosanan 4,3. Huomionosoitusten listalle lukeutuu myös Windowsecurity.comin Readers’ Choice -palkinto sekä Best Vulnerability Management Solution -palkinnon voitto Cyber Defence Magazine InfoSec Awards 2017 -kilpailussa.
Jotta ohjelma olisi saatavilla, on Acunetix ryhtynyt yhteistyöhön valikoitujen jakelijoiden ja jälleenmyyjien kanssa ympäri maailman. Tälle listalle kuulumme myös me, C-YBER. Koska olemme sertifioitu Acunetix-kumppani, voit myös tilata Acunetix-ratkaisut meiltä. Jos siis edustat yritystä, joka etsii kaikenkattavaa verkkosivuston turvallisuusskanneria, Acunetix on yksi niistä vaihtoehdoista, jonka pitäisi löytyä kaikkien listalta. Lisätietoja Acunetix-palveluista saat ottamalla meihin yhteyttä sähköpostilla osoitteeseen info@c-yber.fi.
