SWAT BROCHURE
SÉCURITÉ DES APPLICATIONS WEB La sécurité des applications Web s est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles sur le marché. La première solution consiste à faire l acquisition d un scanner d applications Web de base avec une capacité très limitée ; cette option devrait être évitée indéniablement, particulièrement pour les entreprises ayant une marque prestigieuse associée à une présence en ligne. La seconde solution est d acheter un scanner Web nécessitant des spécialistes de la sécurité expérimentés pour l exécuter d une manière efficace quotidiennement. Cette option peut augmenter considérablement les coûts d exploitation annuels, garder des techniciens qualifiés comme employés à temps plein étant onéreux, et ceci nécessitant également une formation poussée. La troisième solution est d engager une entreprise de sécurité pour effectuer des tests d intrusion élaborés sur les différents sites Web de l entreprise, identifiant toutes les menaces immédiates. Bien que cette option soit extrêmement précise, elle est malheureusement considérée comme un remède à court terme, de nouvelles formes d attaque étant introduites tous les jours et les applications Web changeant fréquemment. LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB SWAT (Secure Web Application Tactics) est une solution conjuguant des outils d analyse d avant-garde et des experts de la sécurité, qui fournit la solution d analyse d applications Web la plus précise et la plus fiable disponible sur le marché. La technologie intelligente utilisée dans SWAT lui permet d identifier et d appréhender les nouvelles menaces, et de modifier son comportement en conséquence sans interférer avec les opérations quotidiennes. SWAT produit des résultats avec zéro faux positifs, ne nécessite pas de formation spécifique, et inclut une assistance technique spécialisée disponible 24/7. SWAT fournit en outre une surveillance permanente, garantit que les sites Web des clients restent protégés même lorsque les applications Web changent ou lorsque de nouveaux modes d attaque sont introduits.
AVANTAGES DE LA SOLUTION Défi : les applications Web changent fréquemment, introduisant de nouvelles fonctions et de nouveaux contenus Solution : contrôle permanent SWAT est une solution intelligente capable d identifier et de réagir face aux nouvelles menaces en modifiant ses modes de comportement en conséquence. SWAT contrôle en permanence les applications Web, détectant les nouvelles modifications telles que les nouvelles pages ou les nouveaux contenus. Lors de l analyse, la solution utilise une intensité et une charge très faibles sur une longue durée, assurant une couverture maximale tout en produisant un impact moindre. Défi : les scanners d applications Web ne sont pas en mesure de tester la logique d une application Solution : une combinaison d outils d analyse d avant-garde et d experts de la sécurité de pointe Les tests de détection des problèmes relatifs à la confidentialité, les restrictions d accès ou les attaques par élévation de privilèges sont très subjectifs et difficiles à réaliser pour un outil traditionnel ; ils dépendent complètement de la perception humaine du comportement prévu des applications. SWAT remédie à ce problème par le biais de ses fonctions d apprentissage avancées, le processus d intégration et des services de vérification précis, associés au support d experts de la sécurité expérimentés, parvenant à une couverture totale également pour ce type de menace. Défi : des détections imprécises entraînant des découvertes erronées et des vulnérabilités manquées Solution : analyse, vérification, tests et élimination des faux positifs SWAT fournit des rapports avec des informations vérifiées auparavant par des experts de la sécurité. Ces rapports éliminent le problème des faux positifs et permettent aux clients d atténuer leurs risques rapidement. Défi : les vulnérabilités techniques sont souvent difficiles à comprendre, et une assistance spécialisée peut être nécessaire pour fournir des précisions Solution : assistance technique spécialisée 24/7 Outpost24 propose une assistance technique spécialisée disponible 24/7. Les clients peuvent poster des questions concernant les vulnérabilités nouvellement identifiées directement dans l interface, et recevoir les réponses des spécialistes de la sécurité qui peuvent être utilisées pour repérer les vulnérabilités. Défi : les scanners de sécurité dégradent souvent les applications Web et interfèrent avec les opérations quotidiennes Solution : analyse sans risques pour la production Les applications Web ont souvent un large éventail de fonctionnalités qui peuvent être affectées lors de l exécution d une analyse, et les interventions techniques peuvent également provoquer des perturbations : par exemple, certaines commandes de base de données peuvent entraîner l exécution d actions indésirables. SWAT respecte les réglementations les plus strictes pour garantir des pratiques d analyse sûres, en évitant de perturber la disponibilité ou l intégrité des informations.
COMPARAISON TECHNIQUE Le projet OWASP TOP 10 (Open Web Application Security Project Top 10) inclut les vulnérabilités trouvées et signalées le plus fréquemment dans les applications Web. Il regroupe les découvertes de vulnérabilité en familles ; alors que les offres de scanner Web traditionnelles ne traitent que des sous-ensembles des différentes familles de menaces, obtenant souvent 75 % de faux négatifs. OWASP top 10 2013 Outils automatisés Tests d intrusion SWAT A1-Injection A2-Broken Authentication and Session Management Poorly supported A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References Poorly supported A5-Security Misconfiguration A6-Sensitive Data Exposure Only default types A7-Missing Functio Level Access Control Poorly supported A8-Cross-Site Request Forgery (CSRF) Low accuracy A9-Using Components with Known Vulnerabilities Low accuracy and coverage A10-Unvalidated Redirects and Forwards
FINDINGS VUE APPLICATION VUE Le tableau Contrôle et suivi ci-dessous présente un examen de la sécurité effectué à l encontre d une application, sa capacité de détection des changements apportés à cette application au fil du temps, et sa capacité de compréhension et de fonctionnement avec une application dynamique. Même si des tests d intrusion rigoureux sont très approfondis et incluent une couverture maximale, ils sont très limités dans leur capacité à maintenir des niveaux de sécurité élevés au fil du temps. Contrôle et couverture Outils automatisés Tests d intrusion SWAT Zero Touch Configuration Maximum links Often 2000-8000 Dictated by time Unlimited Continuous detection If implemented in the process Test new deployed content Detect changed credentials Poorly Rogue website detection Rarely Rarely Time available for a test Often 12-24 hours Often a week Continuous Smart form testing
Le tableau Sécurité de la production fait référence aux risques inhérents lorsqu un scanner ou un test affecte l objet de test. Souvent, les tests d intrusion ne protègent pas la production, sauf si cela est spécifié sur demande spécifique lorsque ceci est considéré comme une priorité essentielle pour le client. La sécurité de la production est essentielle pour les applications critiques où l intégrité des données est très importante, et des cas de test mal exécutés ont une incidence sur l expérience des applications des utilisateurs finals. Sécurité de la production Outils automatisés Tests d intrusion SWAT Production safe testing Medium Low traffic and database intensity Submit forms only when safe Prevents dangerous link use
VULNERABILITY DISCUSSION VUE Le tableau Vérification et orientation fait référence au niveau d expertise nécessaire pour une organisation pour pouvoir utiliser et tirer profit d une solution au fil du temps. La sécurité des applications Web est une compétence spécialisée, dont la maintenance au sein d une organisation est souvent onéreuse. Verificación y orientación Outils automatisés Tests d intrusion SWAT False positives removed Proof of exploitability provided Poorly Vulnerability rating put in context Context-aware CVSS scoring Sometimes Unlimited re-testing and verifications Retests rarely possible Ask experts for advice on remediation On delivery only Smart vulnerability grouping
À PROPOS D OUTPOST24 Fondée en 2001; Outpost24 est une entreprise de gestion des vulnérabilités fournissant les meilleures solutions pour aider les utilisateurs à identifier et atténuer les faiblesses dans leur réseau. Outpost24 fournit des alertes de vulnérabilité en temps réel et des rapports basés sur des solutions qui facilitent la reconnaissance instantanée des menaces imminentes. Avec plus de 40 sites dans le monde, Outpost24 analyse collectivement plus de 400 millions d adresses IP chaque semaine, et détecte plus de 12 000 vulnérabilités quotidiennement. Plus de 2000 entreprises dans le monde entier font confiance à Outpost24 pour protéger leurs réseaux internes et externes ; d organismes gouvernementaux à des établissements financiers ; et d enseignes internationales à des opérateurs de télécommunications. Pour plus