Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Transcription

1 Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA

2 Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système d'information. Notre fonction en tant qu'entreprise est d'aider nos clients: à identifier les ressources critiques dans l'entreprise, à mesurer le risque réel pour leurs affaires, à analyser les failles de sécurité à mettre en place des solutions adaptées à leur environnement. à rester informés de ce qui se passe dans le monde de la sécurité Navixia propose une approche flexible et personnalisée de la sécurité informatique grâce à une structure légère, efficace, mobile et extrêmement expérimentée dans les domaines de l analyse, de la limitation et de la gestion des risques ainsi que de la formation. 24 octobre 2006 Navixia SA 2

3 Agenda Pourquoi les applications Web sont-elles des cibles, quelles conséquences? Quels sont les composants exposés? Comment se protéger? les moyens technologiques Architecture 24 octobre 2006 Navixia SA 3

4 Pourquoi cibler les applications Web La visibilité Les faiblesses sont dans les applications Données Application Système Réseau Une ouverture sur des applications métiers 24 octobre 2006 Navixia SA 4

5 Les conséquences X-SS, SQL Injection, Directory Traversal, Cookie Poisoning... Quelles conséquences? Divulgation d information Modification et intégrité des données Compromission de système Vol d identité Fraude 24 octobre 2006 Navixia SA 5

6 Les composants Serveur Web Main Frame Navigateur Web Serveur Web & Application Web Utilisateur Base de données Client Front-End Back-End 24 octobre 2006 Navixia SA 6

7 Se protéger Les solutions techniques sont des palliatifs Capacité à valider le code Développement externalisé Compétences locales Difficile de faire corriger une application Développement externalisé Accès au développeur Faible sensibilité et connaissance des développeurs 24 octobre 2006 Navixia SA 7

8 Firewall Internet Applicative : 5+ TCP IP MAC Physique } Attaques Capacités 24 octobre 2006 Navixia SA 8

9 Détection des Pré-attaques Vous êtes une cible parmi les autres Identifier le trafic de reconnaissance, une étape inévitable Principe Apprendre les serveurs actifs Observer les activités de reconnaissance Envoyer de leurres : simulation de faux systèmes vulnérables Prouver l intention malveillante Bloquer la source malveillante 24 octobre 2006 Navixia SA 9

10 Détection des Pré-attaques Internet? x b 24 octobre 2006 Navixia SA 10

11 Détection des Pré-attaques Avantages de ces solutions: Pas de signature ou de mises à jour (`` zero day ) Précision Blocage automatique Rapports et statistiques Pas d administration : faible TCO 24 octobre 2006 Navixia SA 11

12 Proxy inverse Offrir un Front-End robuste et sécurisé Intégrer efficacement le SSL Mettre facilement en place une solution SSL Décharger le serveur Web Déchiffrer le trafic pour analyse Intégrer une authentification forte et un Web SSO 24 octobre 2006 Navixia SA 12

13 Proxy inverse Serveur Authentification HTTPS HTTP + SSO Internet SQL or Net APIs 24 octobre 2006 Navixia SA 13

14 Firewall applicatif Analyse en temps réel Inspection des méthodes et headers HTTP Validation de protocole (XML ) Protection contre : Cross-Site Scripting SQL Injection Parameter Tampering Cookie Poisoning Etc. Contrôle d accès aux ressources Web Création d un ``profile dynamique recherche de déviance 24 octobre 2006 Navixia SA 14

15 Firewall applicatif HTTPS HTTP Internet 24 octobre 2006 Navixia SA 15

16 Patching virtuel Une probématique connue : le patch Serveur de production Effets négatifs et retour en arrière périlleux Systèmes qui ne sont plus supportés Protège des vulnérabilités critiques distantes Arcticle dans IBcom d octobre octobre 2006 Navixia SA 16

17 Patching virtuel Internet 24 octobre 2006 Navixia SA 17

18 Scanners Des outils communs aux attaquants, attaqués et auditeurs Mesure du risque Pendant le développement Récurrent Plusieurs types: Scanners réseaux : réseau & système Scanners Web Scanners de base de données 24 octobre 2006 Navixia SA 18

19 Audit de base de données Détermine l utilisation de la base (audit) Recommandé dans le cadre des régulations Séparation des tâches d audit et d administration Les solutions: Audit de l activité Quelles requêtes? Quelle fréquence? Création d un profile, pouvant être lié à la partie Web 24 octobre 2006 Navixia SA 19

20 Audit de base de données Internet 24 octobre 2006 Navixia SA 20

21 Security Information Management 24 octobre 2006 Navixia SA 21

22 Architecture La segmentation Base de données intermédiaire Architecture du code Modules APIs inter-modules fiables 24 octobre 2006 Navixia SA 22

23 Aujourd hui Les moyens technologiques pallient les lacunes de développement Sensibilisation des développeurs Perfectionnement des moteurs d analyse comportementale 24 octobre 2006 Navixia SA 23

24 et demain? Web 2.0 : Une évolution plus collaboratif va influencer les applications Web d entreprise Gravite autour de l information L utilisateur est autant créateur que consommateur de l information L utilisateur réagit plus ouvertement à l information (moins guidé par l application) Le risque: véracité de l information (données). Manipulation : robots 24 octobre 2006 Navixia SA 24

25 QUESTIONS?