Fermer les portes dérobées des applications réseau

Transcription

1 Fermer les portes dérobées des applications réseau Protection des serveurs Web et votre stratégie de sécurité Par Angelo Comazzetto, Senior Product Manager, Network Security Face aux nouvelles techniques d'attaque et vulnérabilités touchant les serveurs Web, les pare-feu traditionnels ne suffisent plus pour protéger le réseau moderne. Inclure une protection de serveur Web dans l'infrastructure de sécurité informatique crée un environnement plus sûr. Toutefois, les pare-feu pour applications Web sont souvent coûteux et difficiles à gérer, ce qui rend le déploiement de telles solutions irréaliste pour les PME. Ce livre blanc explique comment et pourquoi les cybercriminels visent les serveurs Web, et comment la gestion unifiée des menaces (UTM) peut aider les PME dans leur gestion et déploiement de pare-feu pour applications Web en vue de protéger les serveurs Web.

2 Failles des serveurs Web Qu'il s'agisse d'une multinationale ou d'une entreprise locale, presque toute organisation possède un site Internet. Le site Internet est la face publique de l'entreprise et son interface d'interaction avec prospects et clients. Les clients peuvent s'en servir pour gérer leurs comptes, trouver des compléments d'information et commander des produits. Malheureusement, certaines PME omettent de protéger cet élément public et vulnérable de leur réseau. A l'heure actuelle, la plupart des entreprises se protègent à l'aide d'un pare-feu et d'un filtre URL ainsi que par des programmes antivirus et antispam. Les menaces s'avèrent néanmoins de plus en plus sophistiquées et ciblées pour le Web. En fait, un rapport récent a montré que 80 % des attaques réseaux ciblent les systèmes en ligne. 1 Même si les pare-feu de première et seconde génération parviennent à empêcher l'introduction de certaines infections dans votre réseau, ils ne suffisent pas pour bloquer l'accès à tous les logiciels malveillants, tels que ceux qui chiffrent les données avant de demander des rançons, ou tels que les faux programmes antivirus. Une stratégie se limitant au pare-feu équivaut à fermer la porte d'entrée de votre maison tout en espérant que personne ne remarque que votre porte arrière n'est pas fermée à clé. Les cybercriminels n'auront aucun mal à pousser la porte et à pénétrer dans votre réseau. Face aux nouvelles techniques d'attaque et vulnérabilités touchant les serveurs Web, les pare-feu traditionnels ne suffisent plus pour protéger le réseau moderne. Intégrer une protection de serveur Web dans l'infrastructure de sécurité informatique crée un environnement plus sûr. Failles des applications Web 69 % des applications Web contenaient au moins une vulnérabilité d'injection SQL. 42 % contenaient des vulnérabilités de cross-site scripting persistantes. Une étude réalisée en 2011 par HP sur 236 applications Web a révélé de sérieuses vulnérabilités. Source : Hewlett-Packard Application Security Center, Groupe de recherche en sécurité informatique 1. Top Cyber Security Risks Report, HP TippingPoint DVLabs, SANS Institute and Qualys Research Labs, Septembre 2010 Un livre blanc Sophos Avril

3 Evolution du pare-feu Les pare-feu ont vu le jour vers la fin des années 1980, lorsqu'internet était une nouvelle technologie avec une utilisation et une connectivité limitées. Les pare-feu dits de première génération ont optimisé des filtres inspectant les paquets transférés entre ordinateurs connectés à Internet. Si un paquet correspondait au jeu de règles du filtre, celui-ci supprimait (écartait) le paquet ou bien le rejetait en bloc (en envoyant des "réponses d'erreur" à la source). Le pare-feu de seconde génération faisaient le même travail que leurs prédécesseurs mais allant jusqu'à la couche 4 (couche transport) du modèle OSI. Ils examinaient chaque paquet de données ainsi que sa position dans le flux de données, une technique appelée "stateful inspection". Le pare-feu de seconde génération enregistrait l'ensemble des connexions ouvertes pour vérifier si tel paquet constituait le début d'une nouvelle connexion, faisait partie d'une connexion existante ou ne faisait partie d'aucune connexion. Aujourd'hui, le pare-feu a encore évolué et inclut le filtrage des couches applicatives. Il "comprend" certaines applications et protocoles tels que le protocole de transfert de fichiers, le DNS ou la navigation sur Internet. Il détecte si un protocole non désiré s'infiltre par le biais d'un port non standard ou si un protocole est exploité de manière abusive. 2 Voir l'évolution de la sécurité des réseaux dans le temps. Téléchargez notre infographie Le Top 10 d'owasp des risques majeurs pour la sécurité des applications 1. Injection 2. Cross-site scripting (XSS) 3. Violation de l'authentification et de la gestion des sessions 4. Références directes non sécurisées à un objet 5. Falsification de requête intersite (CSRF) 6. Configuration inadéquate de la sécurité 7. Stockage cryptographique non sécurisé 8. Défaut de restriction d'accès URL 9. Protection de couche transport insuffisante 10. Redirections et transmissions non validées Copyright The OWASP Foundation 3 2. Wikipedia, pare-feu (informatique) : 3. L'OWASP (Open Web Application Security Project) est une organisation dédiée au renforcement de la visibilité et la prise de conscience de la sécurité des applications Web. Consultez le Top 10 d'owasp pour 2010, Top_10 Un livre blanc Sophos Avril

4 Cybercriminalité et PME Les PME peuvent penser que leur taille modeste fait d'elles une cible moins évidente. Or, de nombreux cybercriminels ne se soucient guère de la taille. Généralement, les cybercriminels ne visent pas des entreprises ou sites précis. Leur objectif est de gagner autant d'argent que possible avec un effort minimal. Les cybercriminels créent un code pour profiter d'un certain type ou catégorie de vulnérabilité dans les serveurs Web. Ce code scannera ensuite des centaines à des milliers de sites Internet pour y guetter une faille. Une fois la faille trouvée, le code est déployé et le site Internet piraté. Fonctionnement de la cybercriminalité Le cybercriminel crée un code U Le code analyse des milliers de sites U Site vulnérable piraté Peu importe la taille de l'organisation victime et la quantité d'informations dérobées au serveur par le cybercriminel. Pour un seul logiciel malveillant, les résultats sont cumulatifs et permettent donc au cybercriminel de s'enrichir quelle que soit la taille de l'organisation. Moins susceptibles de disposer d'une protection solide de serveur Web, les PME sont même plus exposées aux infractions qu'une société plus grande et connue. Si cela peut nous surprendre, c'est parce que les organisations de petites tailles font rarement la une des média quand elles sont victimes d'une attaque. Souvent, les PME renoncent à mettre en place un pare-feu pour applications Web par crainte que sa gestion soit onéreuse et son déploiement compliqué. A la place, elles préfèrent compter sur leur pare-feu ou autre dispositif de sécurité réseau traditionnel pour la protection des serveurs Web. Cela ne poserait pas de problèmes si les entreprises n'étaient pas obligées de permettre à des personnes extérieures d'envoyer des informations au serveur Web pour passer commande, accéder à leurs comptes ou modifier leurs donnés personnelles. Or, elles le sont. Par conséquent, lorsqu'une entreprise crée un forum, par exemple, elle doit veiller à protéger ou à supprimer les outils administratifs utilisés initialement pour créer le forum (par exemple www. mydomain.com/admin.php), afin que personne extérieure à l'entreprise ne puisse y ou les voir. Si une PME néglige cette étape, des cybercriminels peuvent en profiter pour s'infiltrer dans le réseau. Une fois dedans, ils ont accès à toutes les données stockées sur le serveur telles qu'informations de carte bancaire ou adresses . Un livre blanc Sophos Avril

5 Dans de nombreux pays, les organisations amenées à traiter des données de carte bancaire doivent répondre à un minimum d'exigences de sécurité. Le WASC signale que 99 % des applications Web ne sont pas conformes avec le standard PCI de sécurité des données. 4 L'utilisation d'un pare-feu pour applications Web ou d'un outil de vérification de code peut aider les entreprises de commerce électronique à prévenir les abus les plus courants tout en restant conformes aux réglementations privées et publiques. A l'instar des PME, les gouvernements locaux proposent des services en ligne. Ces portails libre-service permettent aux résidents de mettre à jour leurs permis de conduire, faire enregistrer leurs animaux domestiques, payer leurs impôts ou factures de services publics, remplir des formulaires de recensement ou s'inscrire pour voter. Alors que ce type de portail facilite la vie aux utilisateurs, certaines administrations locales ne disposent pas d'expert en sécurité. Or, sans une protection de serveur Web facile à gérer, les administrations qui s'efforcent à rendre la vie plus facile pour ses citoyens, facilitent par la même occasion le vol de données personnelles pour les cybercriminels. Verrouiller votre réseau Si toute organisation dotée d'un site Internet est vulnérable aux attaques de leur serveur Web, que peuvent faire les PME pour verrouiller la porte arrière de leur réseau? Vous trouverez ci-après sept conseils pour sécuriser les serveurs Web. 1. Connaissez votre réseau et son apparence extérieure. Les PME devraient vérifier quelles sont les informations facilement accessibles aux attaquants potentiels. Moins il y a d'informations involontairement disponibles, mieux c'est. Commencez par examiner les enregistrements DNS publics pour vous assurer que seules sont disponibles des informations d'entreprise et non des données personnelles relatives aux employés. Des attaquants sont capables d'utiliser des informations publiques concernant une organisation et ses employés pour leur lancer une attaque. Puis contrôlez les réponses du serveur Web pour vérifier qu'aucune information concernant les systèmes d'exploitation et les applications utilisés n'est disponible. Enfin, passez en revue les pages d'erreur pour vous assurer qu'elles ne délivrent aucune information telle que le nom des machines et la structure des répertoires locaux. 2. Limitez les réponses aux vérifications et erreurs. Plutôt que de fournir des réponses aux demandes "malformées" (par ex. celles que votre serveur Web n'a pas su comprendre ou traiter), les PME devraient les supprimer d'emblée. Cela réduit la quantité d'informations fournies et aide à éviter une accumulation de journaux susceptible de causer un problème de ressources ou de serveur plein. 4. Web Application Security Statistics 2008, WASC (Web Application Security Consortium), page/ /web%20application%20security%20statistics Un livre blanc Sophos Avril

6 3. Restez vigilant. Les administrateurs informatiques ont tout intérêt à surveiller les journaux et rapports pour guetter tout signe d'anomalies, d'attaquants et de vulnérabilités. Il est important de connaître les tâches et fonctions de ses collègues afin de maintenir des défenses suffisantes dans l'organisation. De plus, cela peut permettre aux administrateurs de combler d'éventuelles lacunes dans votre examen du réseau. 4. Effectuez un examen actif. User NMAP (Network Mapper) et d'autres outils assurent que seuls des ports autorisés sont disponibles au public. Connaissez les ports ouverts sur les serveurs Web et les IP visibles sur Internet. Idéalement, une organisation refusera tout trafic et n'autorisera que certains ports et applications reliés à leurs serveurs. 5. Deployez un faux nom ou un nom de proxy L'utilisation de faux noms et d'informations fausses dans des enregistrements publics et pour des messages d'erreur peut aider les organisations à détecter des tentative d'attaque. Si vous constatez que quelqu'un essaie de contacter le faux nom ou de lancer des attaques basées sur les renseignements trompeurs, c'est le signe que quelqu'un explore vos défences. 6. Ne dépendez pas d'une seule couche de défense. Les pare-feu et IPS (systèmes de prévention d'intrusion) peuvent contribuer à prévenir des abus simples et attaques par déni de service (DoS), mais ce type de solutions ne protège pas contre des attaques de serveur Web comme le cross-site scripting et les injections SQL. Pour protéger correctement vos précieux serveurs Web, il vous faut un pare-feu spécifiquement pour applications Web. La plupart des pare-feu pour applications Web fonctionnent également comme reverse proxy. Au lieu d'acheminer le trafic d'internet vers le serveur, le pare-feu pour applications Web établit une nouvelle connexion en son nom. Un pare-feu pour applications Web offre des fonctions avancées telles que détection de logiciels malveillants et déchargement SSL. 7. Séparez vos ressources pour minimiser les conséquences d'une brèche de sécurité Installez un pare-feu pour applications Web dans une zone protégée sans accès au réseau local ou aux utilisateurs internes. De cette manière, il n'est pas nécessaire d'exposer toute l'organisation aux menaces si un abus devait se produire. Un livre blanc Sophos Avril

7 Limites de la sécurité des réseaux reposant sur un seul pare-feu Comme constaté auparavant, la sécurité des réseaux traditionnelle repose sur des solutions réseaux dédiées pour sécuriser l'environnement du réseau. Ces produits sont généralement déployés comme des logiciels, ils fonctionnent sur PC ou sur un appareil séparé et offrent des fonctions de sécurité des réseaux spécifiques au produit telle qu'un pare-feu. Les pare-feu protègent typiquement le réseau interne des attaques extérieures et interdisent l'accès à partir du réseau interne aux sources extérieures. Malheureusement, les pare-feu seuls n'offrent pas la sécurité, la souplesse de déploiement et les performances dont les PME ont besoin pour se préserver des cyber-menaces sophistiquées et croissantes d'aujourd'hui. Les solutions de sécurité réseau dédiées, telles que les pare-feu, posent des défis significatifs : 1. En rapide évolution, les cyber-menaces d'aujourd'hui sont plus sophistiquées et capables d'échapper à la détection d'une ou plusieurs solutions de sécurité réseau dédiées. De telles solutions offrent des cibles d'attaques privilégiées pour les pirates. 2. Gérer et maintenir un réseau de plus en plus distribué et sans périmètre clairement défini est coûteux et compliqué. Ce genre de structure génère non seulement des lacunes de sécurité, mais aussi des charges supplémentaires pour des ressources déjà lourdement sollicitées. 3. Les performances et la puissance de traitement nécessaires pour assurer une protection complète satisfaisante sont difficiles à atteindre sans du matériel conçu spécialement pour cette tâche. 5 Avantages de la sécurité des réseaux par UTM Le meilleur moyen de contrer les différentes menaces associées à l'accès Web est de consolider la sécurité par une solution complète à la passerelle travaillant de concert avec la protection pare-feu. L'administrateur informatique obtient une vue d'ensemble et le contrôle du trafic Web entrant et sortant. Il peut installer des filtres, moniteurs et commandes de débit de manière sélective afin de réguler le trafic sûrement et méthodiquement sur l'ensemble du système. En plus d'assurer les fonctions standard de pare-feu, la solution de gestion unifiée des menaces (UTM) exerce des fonctions traditionnellement assurées par plusieurs systèmes telles que le filtrage de contenu, l'antispam, la détection d'intrusion et l'antivirus. Les solutions UTM sont conçues pour lutter contre tous les niveaux d'activité malveillante dans le réseau. Une solution UTM efficace assure une sécurité robuste et entièrement intégrée ainsi que des fonctions réseaux telles que pare-feu réseau, système de détection et prévention d'intrusions (IDS/IPS), et antivirus de passerelle. D'autres fonctions comprennent la gestion de sécurité et des politiques par groupe ou par utilisateur. Une UTM prévient des menaces sur la couche applicative et offre une gestion centralisée à travers une seule console, le tout sans affecter les performances du réseau. 5. Sécurité des réseaux : Utilisation de la gestion unifiée des menaces, SearchNetworking, TechTarget, Un livre blanc Sophos Avril

8 En implémentant une solution globale, les organisations acquièrent de réels avantages par rapport à l'accumulation de solutions de filtrage dédiées, à la fois plus onéreuses et plus compliquées. Un point de contrôle unique pour l'accès et l'utilisation du Web présente de nombreux intérêts : Protection contre les logiciels malveillants : Des menaces provenant de logiciels malveillants et espions, de virus et de vers et d'autres attaques encore peuvent être bloquées avec une première ligne de défense robuste. Coûts réduits : Un dispositif de sécurité Web à gestion centralisée réduit les tâches d'administration informatique, simplifie la maintenance de routine et les mises à niveau. Conformité légale : Les entreprises sont en mesure de bloquer l'accès aux contenus Web inappropriés ou illégaux en vue d'observer les politiques internes et mandats officiels. Productivité accrue : Les employés ne passeront pas leurs journées de travail à naviguer sur des sites d'intérêt personnel, et les risques d'infection provenant de sites douteux s'en retrouveront réduits. Il est en outre possible d'éliminer des activités prélevant des ressources réseaux significatives, telles que le streaming. Conclusion Pour les PME tout particulièrement, une passerelle de sécurité Web assure une protection avantageuse et facile à déployer offrant une maîtrise de l'utilisation d'ínternet dans une seule solution à gestion centralisée. Cette approche vient renforcer des mesures de sécurité traditionnelles tout en protégeant contre des menaces émergentes, comme les attaques Web qui profitent de failles au niveau aussi bien utilisateur que serveur. Une approche globale de la sécurité Web offre une gestion simplifiée, une sécurité plus cohérente à travers le réseau, plus de contrôle de l'utilisation des applications Web au sein de l'entreprise avec, à la clé, une exposition réduite aux menaces de sécurité Web. Les conseils de ce livre blanc et la souscription à l'abonnement de sécurité des serveurs Web de l'utm Sophos peuvent vous aider à fermer les portes dérobées de votre réseau. Sophos Webserver Protection - module de l'utm Sophos La configuration d'un pare-feu pour applications Web peut être difficile et coûteuse. Les dispositifs UTM sont conçus en tenant compte des PME, réunissant toute une gamme de fonctions de sécurité dans une seule console. Déployé sur la passerelle du réseau, un dispositif UTM est idéalement placé pour protéger le serveur Web. Sophos Webserver Protection est proposé sous forme d'abonnement dans la console UTM Sophos. Géré via l'interface UTM WebAdmin, il offre aux PME un moyen simple de gérer la sécurité des applications Web en même temps que les autres fonctions de sécurité de l'organisation. Un livre blanc Sophos Avril

9 La fin de la vulnérabilité des applications réseau Protection des serveurs Web et votre stratégie de sécurité Sophos Webserver Protection assure les fonctions suivantes, permettant aux PME de sécuriser des applications comme Outlook Web Access (OWA) tout en protégeant d'attaques de type d'injection SQL et de cross-site scripting : Pare-feu pour les applications Web : Les cybercriminels testent discrètement vos sites et applications pour des brèches de sécurité jusqu'à ce qu'ils trouvent une faille. Le pare-feu pour applications Web compris dans l'abonnement Sophos Webserver Protection empêche les pirates informatiques de se servir d'injection SQL ou de cross-site scripting en surveillant et analysant l'activité sur la base de schémas (patterns) pour bloquer les tentatives d'exploration ou d'attaques. Durcissement des formulaires : La technologie de durcissement de formulaires de Sophos inspecte et valide les informations fournies par des visiteurs par le biais de formulaires sur vos sites Internet. Cela empêche des utilisateurs malveillants de se servir de formulaires pour faire passer des données invalides susceptibles d'endommager ou d'exploiter les serveurs. Reverse proxy : L'UTM Sophos protège les serveurs Web et Outlook Web Access. Les administrateurs analysent toutes les transactions entrantes et sortantes en temps réel, se servant de différentes fonctions de sécurité pour contrôler l'interaction des visiteurs avec les serveurs en passant respectivement par le HTTP normal et le HTTPS crypté. Antivirus : L'abonnement Sophos Webserver Protection offre deux moteurs d'analyse séparés qui fonctionnent en parallèle pour prévenir l'infection et assurer la sécurité de vos utilisateurs et serveurs. Les contenus sont analysés et bloqués à un point central avant d'être autorisés à entrer ou à quitter le réseau. Durcissement au niveau des URL : La fonction Sophos de durcissement au niveau des URL empêche les visiteurs de votre site Internet de voir autre chose que ce qu'ils sont autorisés à voir. En forçant les visiteurs à interagir correctement avec les serveurs, cette fonction empêche les pirates informatiques créatifs d'effectuer des opérations inattendues dans un but malveillant. Protection des cookies : La protection des cookies préserve les cookies - c'est-à-dire des "paquets d'informations" communément attribués aux visiteurs par les serveurs Web - de la falsification. Grâce à la signature numérique de chaque cookie, cette fonction vérifie l'intégrité de cette information quand elle est renvoyée de l'utilisateur. Sécurité du Web par Sophos Essai gratuit de 30 jours Équipe commerciale France Tél : Courriel : info@sophos.fr Boston, Etats-Unis Oxford, Royaume-Uni Copyright Sophos Ltd. Tous droits réservés. Toutes les marques déposées sont la propriété de leurs propriétaires respectifs. Livre blanc Sophos 4.12v1.dNA