ENDEUA

Руководство пользователя Сканера и Монитора безопасности

Введение

Снимок примера отчёта сканера уязвимостей
  1. Добро пожаловать на страницу СКАНЕРА И МОНИТОРА БЕЗОПАСНОСТИ ВЕБ-САЙТОВ от H-X Technologies! Эти профессиональные автоматизированные сервисы предназначены для защиты ваших веб-сайтов. Это руководство поможет вам использовать наши сервисы наилучшим образом, даже если вы не специалист по кибербезопасности.
  2. Во-первых, если вы ещё не читали страницу Часто задаваемые вопросы, мы предлагаем вам это сделать, потому что она содержит некоторую важную начальную информацию об оценке безопасности и уязвимостях информационной безопасности, также известных как технические уязвимости. Затем вы можете просмотреть страницу Википедии об уязвимостях. Эти знания помогут вам оптимально использовать наши сервисы, хотя они также предназначены для новичков.
  3. Уязвимости веб-сайтов – это вид компьютерных уязвимостей, которые могут присутствовать в исходном коде или конфигурации ваших веб-страниц, веб-сервера, веб-приложений, баз данных, систем управления базами данных, бэкэнд-приложений и т. д. На вашем веб-сайте могут быть уязвимости безопасности, даже если об этом никто не знает. Всегда лучше, когда поставщик компонентов вашего сайта или исследователи безопасности обнаруживают уязвимости прежде, чем это сделают хакеры (Darknet, черный рынок и т. д.). Впрочем, рано или поздно любая уязвимость становится известной исследователям безопасности, – до или после того, как хакеры используют эту уязвимость для своих атак. Исследователи безопасности в кратчайшие сроки обновляют специальные базы данных уязвимостей, базы знаний, сканеры безопасности и сканирующие движки, помогая нам определять, уязвимы ли ваши сайты.
  4. Наш СКАНЕР БЕЗОПАСНОСТИ ВЕБ-САЙТОВ использует несколько баз данных уязвимостей и движков сканирования для лучшего обнаружения различных уязвимостей веб-сайтов. Некоторые из движков: Nikto, SSLscan, DNS Bruteforcer, DNS Zone Transfer analyzer, DNS Harvester, Robots.txt Analyzer, Bruteforce predictables discovery, Sqlmap, Wpscan, Joomscan, OWASP ZAP (Zed Attack Proxy, zaproxy). Вам не нужно устанавливать эти движки на свой компьютер, настраивать их, настраивать расписание или запускать их вручную. Мы делаем это за вас. Кроме того, мы постоянно контролируем безопасность вашего сайта и уведомляем вас об увеличении или уменьшении количества его уязвимостей. Теперь давайте посмотрим, как использовать эти сервисы.

Как использовать Сканер Безопасности Веб-сайтов

Инструкция по использованию сканера уязвимостей
  1. СКАНЕР БЕЗОПАСНОСТИ ВЕБ-САЙТОВ (Сканер уязвимостей) предоставляет бесплатный автоматический анализ вашего веб-сайта по требованию.
  2. Если кратко, просто зайдите на главную страницу Сканера, 1) выберите БЫСТРОЕ СКАНИРОВАНИЕ или НОРМАЛЬНОЕ СКАНИРОВАНИЕ, 2) вставьте URL-адрес вашего веб-сайта, введите свое имя, адрес электронной почты, 3) установите флажок, что вы согласны с Условиями использования и Политикой конфиденциальности, 4) установите флажок ‘I'm not a robot’ («Я не робот», CAPTCHA), 5) нажмите «Начать сканирование» и следуйте инструкциям.
  3. В чем разница между БЫСТРЫМ СКАНИРОВАНИМ и НОРМАЛЬНЫМ СКАНИРОВАНИЕМ? Быстрое сканирование занимает всего 5 минут, не требует подтверждения по электронной почте, но дает очень ограниченные и ненадежные результаты. Для нормального сканирования требуется, чтобы вы прочитали уведомление об активации в вашей электронной почте и нажали ссылку активации в нём. Нормальное сканирование может занимать несколько часов, но дает больше результатов, включая удобный отчет.
  4. Зачем вам необходимо уведомлять поставщика услуг хостинга веб-сайта о сканировании уязвимостей? Иногда поставщики блокируют попытки сканирования уязвимостей. Конечно, это хорошо для вас, потому что провайдер, вероятно, также заблокирует попытки хакера. Однако, что если хакеры будут использовать более сложные методы для обхода средств контроля безопасности поставщика? Никогда не полагайтесь только на один слой безопасности! Ваш сайт должен быть защищен сам по себе, независимо от любого провайдера.

    Таким образом, мы рекомендуем сделать исключение для нашего сканера в средствах безопасности поставщика хостинга, таких как WAF или IPS, чтобы получать более объективную информацию о безопасности вашего веб-сайта, а не о безопасности вашего хостинг-провайдера.

    Еще одно соображение, связанное с уведомлением поставщика о сканировании уязвимостей, заключается в том, что иногда (очень редко) провайдеры могут рассматривать сканирование как реальную атаку и направлять жалобы. Согласно нашим Условиям использования, ответственность за сканирование уязвимостей несём не мы, а пользователи. Поэтому, если нам поступят какие-либо жалобы, мы вынуждены будем перенаправлять их пользователю, который запустил сканирование.
  5. Поскольку мы шлём множество уведомлений об активации, отчетов и нотификаций в почтовые ящики пользователей, иногда эти письма попадают в СПАМ. Вам следует всегда проверять ящик СПАМ, чтобы не пропустить наши сообщения. Вы можете использовать кнопку «Не Спам» или аналогичную кнопку вашего почтового клиента, чтобы предотвратить дальнейшую ложную фильтрацию спама.
  6. Пример отчёта сканера
  7. Что если вы получили наш отчет о сканировании, в котором указывается, что ваш сайт потенциально УЯЗВИМ? Что ж, не паникуйте! Не каждая уязвимость эксплуатируема и опасна. Вам следует показать отчет вашему аналитику информационной безопасности или хотя бы вашей технической поддержке для проверки и оценки уязвимостей. Любые сканеры уязвимостей обычно дают много ложных срабатываний. Мы всегда настаиваем на том, что любые результаты сканирования должны проверяться вручную, и мы с удовольствием можем помочь вам.
  8. Что если в отчете указано, что ваш сайт потенциально ЗАЩИЩЕН? Что ж, не расслабляйтесь! Не бывает и никогда не будет всезнающих сканеров уязвимостей. Однако наши сканирующие системы постоянно учатся. Попробуйте выполнить сканирование позже, и вы можете получить другие результаты. Устали запускать сканирование вручную? Тогда вам пригодится Сервис мониторинга уязвимостей, описанный ниже.

Как использовать Монитор Безопасности Веб-сайтов

  1. СКАНИРУЮЩИЙ МОНИТОР БЕЗОПАСНОСТИ ВЕБ-САЙТОВ – это полезный сервис, который работает по подписке и использует движки Сканера Безопасности для ежедневных сеансов сканирования, отслеживает уязвимости вашего сайта с течением времени и уведомляет вас об увеличении, уменьшении или изменении уязвимостей. Поскольку Монитор основан на Сканере, во время работы с Монитором вы можете использовать приведенные выше инструкции и ваш опыт со Сканером. А именно: заполнение форм, оповещение хостинг-провайдера, проверка спама, обработка отчетов и т. д.
  2. Чтобы использовать МОНИТОР БЕЗОПАСНОСТИ, перейдите по ссылке Сканер и Монитор, заполните форму так же, как и для сканера, но нажмите переключатель «МОНИТОР». Появится раскрывающееся меню «Период», чтобы вы могли выбрать необходимый период мониторинга – один или несколько месяцев. После нажатия кнопки «Начать сканирование» вы получите по электронной почте уведомление об активации. Пожалуйста, сообщите своему провайдеру хостинга веб-сайта о сканировании уязвимостей и нажмите ссылку активации, чтобы перейти на страницу оплаты подписки.
  3. На странице оплаты подписки вы увидите информацию о параметрах подписки, сумме оплаты и т. д., и приглашение продолжить процесс оплаты. Поскольку у нас нет доступа к данным платежных карт VISA/Mastercard пользователей, все платежи обрабатываются профессиональным процессинговым центром. Сразу же после успешной оплаты мониторинг активируется, и первый сеанс сканирования помещается в очередь.
  4. В электронном письме с уведомлением об активации вы получите информацию о вашей подписке и, помимо прочего, ссылку на панель управления мониторингом.
  5. Не перенаправляйте никому и храните конфиденциально наши уведомления и другие электронные письма, чтобы не позволить неуполномоченным пользователям доступ к вашей панели управления и сведениям об уязвимостях.
  6. После завершения первого сеанса сканирования вы получите соответствующий отчет с информацией о текущем статусе безопасности вашего веб-сайта. Этот отчет очень похож на обычный отчет СКАНЕРА, описанный выше. В частности, как и любой отчет об оценке уязвимостей, отчеты мониторинга могут содержать ложные срабатывания.
  7. Одна из основных идей нашего сервиса МОНИТОРИНГА заключается в том, что уведомления не должны отправляться, если нет изменений в уязвимостях вашего сайта. Например, если вы проанализировали отчет один раз и решили, что некоторые из результатов – ложные срабатывания, вы получите новое уведомление мониторинга, только когда появятся новые уязвимости или исчезнут существующие. Тем не менее, вы можете открывать ежедневные отчеты о мониторинге из панели мониторинга, когда захотите, в течение периода хранения.
  8. Обратите внимание, что, когда ваш сайт или его компоненты временно или частично недоступны для наших сканирующих движков, они могут получать меньше информации об уязвимостях, поэтому вам может прийти ложное уведомление об улучшении безопасности. Монитор выполняет подтверждающие сканирования, но вы также можете сами сравнивать несколько отчётов от разных дат для проверки уязвимостей.
  9. Если вы собираетесь делать существенные изменения в своем веб-сайте, такие как миграция или замена движка веб-сайта, мы рекомендуем приостановить заранее, хотя бы за день, мониторинг уязвимостей с помощью панели управления и возобновить мониторинг после окончания изменений.

Начать Сканирование или Мониторинг Безопасности вашего веб-сайта.


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI