拥有一套必要的在线安全工具会对您的网络安全计划产生影响,本文将介绍4个免费在线网络安全测试工具,以期改善您的2021年预算计划。
9月,Gartner发布了” 2020年9大安全和风险趋势”列表,强调了现代网络安全威胁格局的复杂性和规模的不断增长。
外部攻击面的不完全可见性导致2020年灾难性漏洞和数据泄漏的急剧增加,损害了PII和数百万受害者的其他敏感数据。这些事件的产生源于APT黑客组织的复杂入侵、人为错误以及广泛的错误配置,这些威胁使不受保护的云存储或具有机密数据的数据库暴露于互联网。
在网络安全技能持续短缺的情况下,Gartner的安全分析师建议自动执行繁琐的安全任务和流程,并及时解决新兴的云和容器安全风险。
Gartner还建议特别注意隐私和法规要求,以避免严厉的罚款和其他制裁,并开始在组织内实施零信任模型,而不论其规模如何。
尽管不断加剧的新冠病毒大流行给全球许多组织和企业带来了毁灭性的影响,但大多数公司都在尝试或将其业务流程转移到未受新冠病毒影响的数字空间。然而,大多数网络安全预算也受到了整体经济下滑的附带影响,预算的缩减毫无例外地加剧了压力性的数字化转型。
尽管如此,预计网络安全支出将在2021年反弹并再次激增。同时,我们希望为您提供一系列很棒的免费安全工具,我们认为这些工具可能会对您的网络安全计划和2021年预算计划产生明显的影响。
上周,应用程序安全公司ImmuniWeb宣布了其免费版本Community Edition的重大更新。它提供4个免费的安全测试,充分涵盖了Gartner提到的许多安全和隐私优先事项,还提供了一些强大的功能来监视针对您公司的安全事件和外部网络威胁。
在RSA 2020大会之后,ImmuniWeb公司在我信息安全领域取得了令人瞩目的进展。我们决定测试ImmuniWeb社区版,如果您不熟悉它,建议立即尝试:
网站安全性和合规性测试
网址:https://www.immuniweb.com/websec
对于某些特定的用例,此网站安全测试可能会很好地替代商业Web漏洞扫描程序。值得注意的是,免费测试是非侵入性的,并且对于生产环境是安全的,在发送RCE或缓冲区溢出利用有效负载时,您不会意外使旧的Web服务器或旧版Web应用程序崩溃。
ImmuniWeb表示,它的软件组成分析(SCA)模块具有广泛的多元化Web软件数据库,涵盖从开源WordPress、Drupal到Microsoft和Oracle的商业Web产品。据报道,SCA模块包括300多个CMS和Web框架,160000个插件和扩展,以及8900个JavaScript库,其嵌入式漏洞数据库涵盖了12000多个CVE漏洞
除了Web应用程序漏洞外,免费测试还支持检查您的网站配置是否符合GDPR和PCI DSS的特定要求
在一项测试中,您将同时获得有关如何加强网站安全性、提高Web服务器的弹性以及增强适用的隐私和合规性要求的结果概述。
暗网暴露和网络钓鱼检测测试
网址:https://www.immuniweb.com/darkweb
对于威胁分析人员和Blue Teams来说,这似乎是一个非常难得的免费工具,它旨在增强正在进行的安全事件的可见性,包括暗网讨论和涉及其组织或您的主要供应商的被盗数据的售卖要约。
出于法律和隐私方面的原因,免费测试不会披露事件的全部详细信息,例如被盗的纯文本密码或受感染数据库的完整副本。但是,在寻求暗网监视解决方案之前,可以随时获得足够详细和可衡量的概述来支持和增强您的决策过程
除了全面的暗网快照,您还可以很好地了解Pastebin泄漏、正在进行的网络钓鱼活动、域名抢注(网络和打字错误抢注),甚至是在社交网络中篡改您身份的假帐户:
我们还建议您将此便捷的免费工具用于您的第三方风险管理(TPRM)程序,以便为有权访问您的机密数据的外部供应商和供应商打分。
移动应用安全和隐私测试
网址:https://www.immuniweb.com/mobile
这项免费的移动安全测试现在允许直接从Google Play等公共应用商店下载APP,甚至包括Cydia,因此,越狱的iOS设备用户还可以测试其移动应用的隐私和安全问题
该移动测试同时执行动态(DAST)和静态(SAST)移动应用扫描,从而展示广泛的移动漏洞和弱点。扫描涵盖了OWASP Mobile的十大风险以及OWASP Mobile Security测试指南(MSTG)项目中提到的一些特定的安全问题
我们特别关注移动应用程序的隐私:您将看到包含经过测试的应用程序以及移动应用程序向其发送数据的外部Web主机和服务器所请求的权限的清单。其内置的软件组成分析(SCA)模块阐明了移动应用程序中使用的第三方库和本机库。
重要的是,由于其非侵入性,免费的移动扫描程序无法涵盖移动端点测试(例如API或Web服务),这些测试应始终包含在您的移动安全测试程序中。
SSL安全性和合规性测试
与许多同类产品不同,此免费的SSL安全测试不仅可以测试无处不在的HTTPS,还可以测试TLS加密的任何形式,包括电子邮件服务器和SSL VPN
对于电子邮件服务器,该测试还将检查是否正确配置了SPF、DMARC和DKIM,它们实际上是当今最常见的电子邮件安全最佳实践。
最重要的是,该测试将自动及时地执行子域的自动发现,提醒所有人不仅是主要的” www”网站需要关注。
该测试会仔细检查所有当前已知的SSL / TLS实现或加密漏洞,包括Heartbleed、ROBOT、BEAST、POODLE和许多其他缺陷,这些缺陷可能会导致对传输中的数据被拦截或解密。
另一个显着的好处是将TLS配置映射到PCI DSS、NIST和HIPAA的特定要求,因此您可以验证加密强度是否正确满足法规要求,从而避免违规的罚款
可以刷新所有测试,并且如果创建免费帐户,还可以免费下载PDF报告文档,以便您可以在内部共享或与客户分享,以证明您关心他们的数据安全性。
适当强化的HTTPS和受保护的网站是电子商务业务的有说服力的竞争优势,尤其是在有关骇人听闻的黑客在大购物中窃取了不知情的在线购物者的钱包之后。
