Découvrir les vulnérabilités au sein des applications Web



Documents pareils
Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

fiche technique Smart Access Management Service de Ruckus MIGRER LE SMART WI-FI SUR LE CLOUD CARACTÉRISTIQUES ET AVANTAGES

Libérez votre intuition

Fiche Technique. Cisco Security Agent

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Meilleures pratiques de l authentification:

La Sécurité des Données en Environnement DataCenter

10 bonnes pratiques de sécurité dans Microsoft SharePoint

BROCHURE D ENTREPRISE

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

serena.com Processus et réussite Accélérez avec Serena TeamTrack

Solutions de sécurité des données Websense. Sécurité des données

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Découverte et investigation des menaces avancées PRÉSENTATION

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Trusteer Pour la prévention de la fraude bancaire en ligne

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Solution de gestion des journaux pour le Big Data

FrontRange SaaS Service Management Self-Service & Catalogue de Service

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Approches innovantes vers le Cloud, la Mobilité et les outils sociaux de formation

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Solutions McAfee pour la sécurité des serveurs

Présentation de la solution Open Source «Vulture» Version 2.0

Sécurité sur le web : protégez vos données dans le cloud

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Atteindre la flexibilité métier grâce au data center agile

RSA ADAPTIVE AUTHENTICATION

La situation du Cloud Computing se clarifie.

EMC DATA DOMAIN HYPERMAX

Symantec MessageLabs Web Security.cloud

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Alcatel-Lucent VitalQIP Appliance Manager

Sécurité Informatique : Metasploit

Les risques HERVE SCHAUER HSC

LA PROTECTION DES DONNÉES

Solutions SAP Crystal

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Protéger les données critiques de nos clients

Optimisez la gestion de l information dans votre entreprise

Sécuriser l entreprise étendue. La solution TRITON de Websense

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Approche holistique en huit étapes pour la sécurité des bases de données

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Sécurité. Tendance technologique

Théodore Levitt Economiste américain, Professeur à Harvard.

Symantec Endpoint Protection Fiche technique

IBM Tivoli Compliance Insight Manager

Passage du marketing par à l automatisation du marketing

Optimisation du retour sur investissement de Microsoft Dynamics CRM grâce à l automatisation du marketing

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

La reconnaissance de plaques d immatriculation qui vous facilite la tâche. Solutions innovatrices

Indicateur et tableau de bord

Rapport de certification

HySIO : l infogérance hybride avec le cloud sécurisé

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Catalogue Audit «Test Intrusion»

Introduction à. Oracle Application Express

Microsoft Office system Février 2006

Créer et partager des fichiers

Présentation du logiciel Lotus Sametime 7.5 IBM

Gestion des identités et des accès pour garantir la conformité et réduire les risques

La voie rapide vers le cpdm

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

CA Workload Automation Agent pour implémentation mainframe Systèmes d exploitation, ERP, bases de données, services applicatifs et services Web

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

Nous ne doutons pas que vous prendrez plaisir à essayer Siebel CRM On Demand d Oracle!

The Path to Optimized Security Management - is your Security connected?.

Développez. votre entreprise. avec Sage SalesLogix

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Voulez-vous offrir le service libre-service bancaire ultime?

menaces persistantes avancées : se défendre de l intérieur

Analytics Platform. MicroStrategy. Business Intelligence d entreprise. Self-service analytics. Big Data analytics.

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Security Center Plate-forme de sécurité unifiée

IBM Tivoli Monitoring, version 6.1

ArcGIS. for Server. Sénégal. Comprendre notre monde

Etat des lieux sur la sécurité de la VoIP

Utilisation de l automatisation du marketing pour augmenter le retour sur investissement du CRM

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

La gestion des risques en entreprise de nouvelles dimensions

IBM Cognos Disclosure Management

Web Security Gateway

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Transcription:

Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012 sur les compromissions de données publié par Verizon Business, les applications Web vulnérables sont à l origine de 54% de l ensemble des opérations de piratage et de 39% des enregistrements compromis dans les grandes entreprises. En réaction, la plupart des entreprises ont mis en place une équipe chargée de la sécurité des applications et déployé des moyens technologiques pour réduire au minimum ces vulnérabilités. Cependant, d après les statistiques de Verizon, les processus et les technologies utilisés pour gérer les risques au sein des applications Web ne sont généralement pas puissants et doivent être améliorés. Ceci en raison de l absence d un catalogue fiable et complet de toutes les applications Web utilisées par l entreprise et de l incapacité d analyser automatiquement les vulnérabilités sur des centaines voire des milliers d applications Web. Ce document explique comment les grandes entreprises peuvent découvrir, cataloguer et analyser efficacement leurs applications Web pour contrôler ce vecteur de risque majeur dans le cadre d un programme global de gestion des vulnérabilités dans SOMMAIRE Appel à la mobilisation pour sécuriser les applications Web 1 Facteurs de prévention efficaces pour sécuriser les applications Web 2 Meilleures pratiques pour la sécurité des applications Web 2 Une découverte et un catalogage puissants des applications Web avec QualysGuard WAS 3 À propos de QualysGuard WAS 5 À propos de QualysGuard Cloud Platform 5 Appel à la mobilisation pour sécuriser les applications Web La vulnérabilité des applications Web dans les grandes entreprises constitue un risque énorme. Comme l indique la toute dernière étude sur les compromissions de données réalisée par Verizon Business, 54% des exploits réussis ont profité d une vulnérabilité au sein d une application Web pour capturer 39% des enregistrements compromis. 1 Les criminels ciblent désormais les applications Web notamment parce que les entreprises sont parvenues à mettre un terme à de nombreux exploits traditionnels en recourant à de puissantes défenses périmétriques. Cette étude fait remarquer : «La nécessité inhérente à de nombreuses applications Web d être visibles sur Internet en fait des cibles logiques ; la possibilité de les utiliser comme point d entrée dans une base de données d entreprise en fait des cibles intéressantes.» L étude menée par Verizon a permis de découvrir que les serveurs Web/d applications ainsi que les serveurs de bases de données représentaient la catégorie d actifs compromis la plus importante dans les entreprises de plus grande taille -33% de l ensemble des compromissions pour les deux types de serveur, avec respectivement 82% et 98% de tous les enregistrements. 2 Une fois qu ils ont abusé d une application Web vulnérable pour pénétrer sur le réseau de l entreprise, les criminels peuvent causer des dégâts majeurs aux actifs connectés. Le danger est une fausse impression de sécurité pour les entreprises qui ont mis en place une équipe dédiée à la sécurité des applications et déployé des contrôles rudimentaires pour s attaquer au vecteur de menace que représentent les applications Web. En effet, ces entreprises pensent peut-être qu elles sont protégées contre les exploits liés aux applications Web, mais en réalité les 1 Verizon Business, Rapport d enquête 2012 sur les compromissions de données, pp. 32-33 à l adresse http://www.verizonbusiness.com/resources/reports/rp_rapport_d_enquete_2012_sur_les_compromissions_de_donnees_fr_xg.pdf 2 Verizon Business, Rapport d enquête 2012 sur les compromissions de données, pp. 39.

Découvrir les vulnérabilités au sein des applications Web 2 L UTILISABILITÉ DU SCANNER EST VITALE POUR LES GRANDES ENTREPRISES Certains problèmes d utilisabilité d autres scanners peuvent nuire à leur efficacité. Par exemple : Une configuration complexe qui ne permet l analyse que de 50 à 100 applications par an par un ingénieur bien formé. Les silos de données de chaque application qui ne peuvent s intégrer à une vue à l échelle de L absence d intégration aux données d analyse de gestion des vulnérabilités de L hébergement sur une seule station de travail d un scanner qui limite l évolutivité pour analyser simultanément des milliers d applications Web distribuées. Les scanners hébergés en interne qui empêchent des analyses externes concrètes et peuvent empêcher les développeurs de tester le code. Une formation intensive qui s avère nécessaire pour la configuration des analyses complexes. Une politique de licence et de mise à jour complexe qui inhibe l analyse de milliers d applications. Un support médiocre qui interdit une analyse programmatique efficace. données collectées par Verizon indiquent que les mesures existantes ne sont certainement pas assez puissantes. Facteurs de prévention efficaces pour sécuriser les applications Web Pour réduire le nombre d applications Web vulnérables, il est primordial d analyser les applications et d identifier celles qui comportent du code non fiable, puis de corriger ce code dans chaque application afin d éliminer la vulnérabilité associée. Ces attaques s appuient généralement sur l injection de fautes, une technique permettant d exploiter les vulnérabilités de la syntaxe et de la sémantique d une application Web. L injection de codes SQL, les scripts intersite (XSS) et les falsifications de requêtes intersite (CSRF) figurent parmi les exemples d attaques. Ces attaques insèrent des caractères ou des scripts dans la requête dans le but d altérer le workflow logique et de déclencher un exploit. Un scanner DAST (Dynamic Application Security Testing) est la solution la plus rapide pour localiser ces vulnérabilités. D autres vulnérabilités peuvent exiger l examen ligne à ligne du code source de l application, l analyse et la reconfiguration de l application ou des paramètres système ou encore la redéfinition de l architecture d une solution. Il n existe pas de solution miracle pour découvrir toutes les vulnérabilités au sein des applications Web. Néanmoins, l utilisation d un scanner DAST performant permet de détecter rapidement les problèmes majeurs et de mettre votre équipe chargée de la sécurité des applications sur la voie de la remédiation. Dépendre d un scanner aux ressources de détection des vulnérabilités médiocres est un facteur susceptible de compromettre le succès de l opération. Il est vital que votre scanner puisse identifier avec précision les vulnérabilités critiques telles que les injections de codes SQL et les scripts XSS et mettre à jour en permanence les signatures à mesure que les menaces évoluent. Autre facteur négatif : l utilisation d un scanner incapable d intégrer la complexité et l évolutivité qu exigent les grandes entreprises qui possèdent des centaines voire des milliers d applications Web. Les caractéristiques d un scanner peuvent sembler bonnes sur le papier, mais si son utilisabilité à l échelle de l entreprise est médiocre, compter sur un tel outil met votre entreprise dans une position fort vulnérable. Le contenu de la colonne de gauche décrit huit facteurs qui limitent l utilisabilité d un scanner par Le facteur le plus important et le plus fondamental est que beaucoup de grandes entreprises ne possèdent pas de catalogue de toutes leurs applications Web. Il n est pas possible de pointer votre scanner sur une application si cette dernière n est pas visible de l équipe chargée de la sécurité. MEILLEURES PRATIQUES POUR LA SÉCURITÉ DES APPLICATIONS WEB Défi 1. Reconnaître la sécurité des applications Web comme un besoin critique. 2. Mesurer les retombées potentielles d une faille pour déployer un programme complet. Tactique S engager à faire de l éradication des vulnérabilités des sites Web l une des priorités absolues de Concevoir et déployer des processus supérieurs et une technologie préventive. Tenir compte des clients susceptibles de passer à la concurrence, d une baisse des ventes, d une moindre utilisation de votre boutique en ligne par des clients craignant d être victimes d une faille, des amendes pour absence de conformité, des procédures légales et de l impossibilité de pouvoir continuer à accepter des cartes de paiement. 3. Établir un programme de sécurité des applications Web à l échelle de Tout mettre en œuvre pour développer, déployer et maintenir des applications Web sécurisées. Se concentrer sur la visibilité, l évolutivité et les

Découvrir les vulnérabilités au sein des applications Web 3 résultats à l échelle de 4. Recourir à l automatisation pour découvrir et cataloguer les services applicatifs Web. 5. Ajouter l analyse des applications Web à la gestion des vulnérabilités. 6. Comparer les critères pour sélectionner le bon scanner de sites Web. 7. Avoir conscience des vulnérabilités majeures et connaître les fonctionnalités du scanner. 8. Évoluer pour intégrer les exigences complexes de l entreprise sans mobiliser une infrastructure, du personnel et un support trop importants. Automatiser la découverte et le catalogage à l aide du scanner, sous peine de rendre l analyse manuelle ingérable. Accorder de l importance à la sécurité des applications Web. Cette dernière exige des processus et une technologie évolutifs pour gérer toutes les applications Web dans le cadre d une gestion des vulnérabilités à l échelle de Découvrir rapidement et efficacement toutes les applications Web utilisées dans Cataloguer et organiser toutes les applications Web. Analyser rapidement et efficacement les vulnérabilités sur l ensemble des applications Web. Fournir un reporting complet avec une vue de la sécurité des applications Web à travers Traquer les principales vulnérabilités (par exemple CWE/SANS Top 25, OWASP Top 10, Web Application Security Consortium Threat). Utiliser une solution dans le Cloud. S appuyer sur une technologie qui supporte un fonctionnement à base de profil. Utiliser une technologie qui intègre les processus de gestion des vulnérabilités existants. Une découverte et un catalogage puissants des applications Web avec QualysGuard WAS La découverte automatisée des applications Web est une nouvelle fonction majeure de QualysGuard WAS, un service Cloud totalement intégré à la plate-forme dans le Cloud et à la suite de solutions de sécurité et de conformité QualysGuard. La découverte est la première étape du cycle de vie de l analyse des applications Web. Il s agit également d une étape cruciale qui pose les fondements du contrôle de la sécurité des applications Web à l échelle de APPLICATIONS En outre, QualysGuard WAS analyse votre réseau pour WEB identifier tous les services HTTP en surveillant l activité des applications Web. Ces services sont automatiquement intégrés à votre catalogue d applications Web et reçoivent le statut «Nouveau». Ensuite, ces applications peuvent être analysées et organisées d après leur statut : «Inconnu», «Approuvé» ou «Ignoré». Les administrateurs peuvent s appuyer sur ces statuts pour déterminer les applications Web à ajouter à l analyse. Une fois ajoutées, ces applications Web se voient attribuer le statut «Souscrit» («In Subscription») dans le catalogue. La découverte des services applicatifs Web a pour but d enrichir un catalogue d entreprise en y renseignant les détails techniques et le statut de chaque application Web. Un exemple est donné ci-dessous.

Découvrir les vulnérabilités au sein des applications Web 4 FONCTIONNALITÉS DE QUALYSGUARD WAS Tableau de bord unifié. Pour fournir une vue complète des analyses, résultats et rapports. Découverte, catalogage et analyse des applications Web. Pour garantir une analyse et une gestion des applications exhaustives pour les grandes entreprises. Reporting interactif. Pour procéder à une analyse puissante et à une distribution sécurisée des résultats du scan. Intégration à Selenium. Pour autoriser des séquences d authentification complexes et étendre la navigation au sein des workflows. Les grandes entreprises peuvent également s appuyer sur un mécanisme de marquage des actifs personnalisable pour partitionner de manière hiérarchique les applications Web, les données d analyse et le reporting. Ce marquage permet de limiter l accès des utilisateurs aux seuls actifs avec lesquels ils partagent un tag. Analyse authentifiée. Pour identifier automatiquement la (les) page(s) de connexion à un formulaire HTML et surveiller l état de la session via le navigateur Web et maintenir ainsi l authentification d une l analyse pendant toute la session de navigation. Un tableau de bord offre un accès pratique à l ensemble des données de sécurité pour les applications Web, les analyses, les rapports, les configurations, les utilisateurs et une base de connaissances afin de remédier les vulnérabilités. Pour consulter les détails, il suffit d explorer le tableau de bord. Un exemple est donné ci-dessous. Profils d analyse ciblés. Pour analyser la sécurité de vos applications Web et identifier les vulnérabilités détectées, les données sensibles ainsi que les données à caractère informatif. Options d analyse. Pour répondre aux besoins de l entreprise via de puissantes options.

Découvrir les vulnérabilités au sein des applications Web 5 Avantages de QualysGuard WAS. Profitez de la puissance et de l évolutivité du Cloud pour identifier les risques liés aux applications Web à travers votre entreprise. Exhaustivité. Découverte, catalogage et gestion de toutes les applications Web pour garantir une couverture complète. Productivité. Interface utilisateur intuitive et processus hautement automatisés pour accroître la productivité. Économies. Solution la plus rentable car offrant un nombre illimité d analyses des applications Web. Évolutivité. Analyse automatisée de milliers applications Web via une gestion centralisée pour fournir une approche organisée et basée sur la coopération dans toute POUR EN SAVOIR PLUS Nous restons à votre disposition si vous souhaitez en savoir plus sur la manière dont QualysGuard Web Application Scanning (WAS) peut aider votre entreprise à découvrir, cataloguer, analyser et contrôler ces risques à l aide d une solution dans le Cloud évolutive. Pour plus de détails, contactez votre représentant Qualys et rendez-vous sur http://www.qualys.com/enterprises /web-applications/ À propos de QualysGuard WAS Service d analyse des applications Web, QualysGuard WAS s appuie sur l évolutivité de la plateforme dans le Cloud QualysGuard pour donner aux entreprises les moyens de découvrir, de cataloguer et d analyser toutes les applications Web de QualysGuard WAS parcourt et analyse les applications Web personnalisées et identifie les vulnérabilités qui menacent les bases de données sous-jacentes ou qui contournent les contrôles d accès aux applications. Ces applications Web sont souvent les principaux vecteurs d attaque des cybercriminels. À propos de QualysGuard Cloud Platform Produit phare de Qualys, QualysGuard Cloud Platform et sa suite de solutions intégrées de sécurité et de conformité permettent aux entreprises de toute taille d avoir une vue globale du niveau de sécurité et de conformité de leur environnement informatique, tout en réduisant fortement leur coût total de possession. Les solutions QualysGuard, notamment pour la gestion des vulnérabilités et de la conformité, l analyse des applications Web, la détection des codes malveillants ainsi que le sceau de confiance Qualys SECURE qui teste la sécurité des sites Web sont désormais utilisées par plus de 6000 entreprises dans 100 pays et réalisent plus de 600 millions d audits IP par an. Qualys, Inc. Siège social Qualys est société d envergure mondiale avec des 1600 Bridge Parkway représentations dans le monde entier. Pour connaître le bureau le Redwood Shores, CA 94065 plus proche de chez vous, rendez-vous sur http://www.qualys.com États-Unis Tél.: 1 (800) 745 4355 Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Tous les autres produits ou noms sont la propriété de leurs détenteurs respectifs. 8/12

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back