Réduire le coût et la complexité de la gestion des
Transcription
Réduire le coût et la complexité de la gestion des
DOCUMENT TECHNIQUE : Réduire le coût et la complexité de la gestion des vulnérabilités Web Document technique Réduire le coût et la complexité de la gestion des vulnérabilités Web Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Réduire le coût et la complexité de la gestion des vulnérabilités Web Sommaire La nécessité de simplifier la détection des vulnérabilités Web . . . . . . . . . . 3 Les vulnérabilités non corrigées compromettent la sécurité de votre site Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6 253 nouvelles vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Hausse de 93 % des attaques Web . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Les solutions traditionnelles sont coûteuses et complexes . . . . . . . . . . . . 4 Simplifier la détection des vulnérabilités Web : une approche externalisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vue d'ensemble de la détection des vulnérabilités Web . . . . . . . . . . . . . . Différence entre détection des vulnérabilités Web et recherche des logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de votre service de détection des vulnérabilités . . . . . . . . . Détection des vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Consultation des rapports de détection des vulnérabilités . . . . . . . . . . . . 4 4 4 5 5 7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logiciel criminel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cross-Site Scripting (XSS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Usurpation d'identité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Injection SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8 8 8 8 8 2 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web La nécessité de simplifier la détection des vulnérabilités Web En juin 2010, un groupe de pirates est parvenu à obtenir les adresses électroniques de plus de 120 000 clients Apple possédant un iPad1 (dont celles de hauts responsables gouvernementaux et des secteurs de la finance, des médias, des technologies informatiques ainsi que de l'armée2 ) en tirant parti d'une faille de sécurité d'un site Web d'AT&T. Ce type d'événements est malheureusement trop fréquent. Le nombre d'attaques Web a augmenté de 93 % en 2010, chacune des failles de sécurité des données causées par le piratage menaçant en moyenne 230 000 identités3. Lors d'une étude récente4 menée par le Ponemon Institute, 90 % des personnes interrogées ont indiqué avoir été confrontées à au moins deux failles de sécurité au cours des 12 derniers mois, et près des deux tiers ont affirmé avoir été confrontées à plusieurs failles sur cette même période. Ces failles peuvent s'avérer extrêmement coûteuses. Les études montrent que le coût moyen par incident aux Etats-Unis s'élève à 7,2 millions de dollars, la résolution de l'une des plus graves failles ayant coûté 35,3 millions de dollars5. Les failles de sécurité impliquant des informations personnelles peuvent également avoir un impact négatif sur le sentiment de confiance des consommateurs : plus de la moitié des internautes évitent d'acheter en ligne6 par peur de se faire dérober leurs informations bancaires. Ces enjeux obligent les organisations à concentrer leurs efforts de sécurité sur la prévention de ces failles. Les vulnérabilités non corrigées compromettent la sécurité de votre site Web 6 253 nouvelles vulnérabilités En 2010, Symantec a recensé un nombre record de vulnérabilités (depuis la première édition de ce rapport). En outre, le nombre de nouveaux fournisseurs affectés par une vulnérabilité a atteint 1 914, soit une hausse de 161 % par rapport à l'année précédente. Hausse de 93 % des attaques Web La multiplication croissante des kits d'attaque Web a entraîné une hausse de 93 % du volume des attaques Web en 2010 par rapport à 2009. Les URL raccourcies semblent également avoir joué un rôle : en 2010, sur une période d'observation de trois mois, 65 % des URL malveillantes observées sur les réseaux sociaux étaient des URL raccourcies. Les pirates et les cybercriminels disposent d'un nombre incalculable de techniques pour compromettre l'intégrité, la disponibilité et la confidentialité des informations et des services. De nombreuses attaques s'appuient sur les failles courantes des logiciels informatiques pour créer des faiblesses dans la sécurité globale de l'ordinateur ou du réseau. D'autres exploitent les vulnérabilités créées par une configuration inadéquate de l'ordinateur ou de la sécurité. Il existe des dizaines de milliers de vulnérabilités connues, et Symantec en a recensé 6 253 nouvelles en 20107, le nombre le plus élevé jamais observé. La plupart du temps, les développeurs de logiciels œuvrent rapidement pour réparer les vulnérabilités dès leur détection, en publiant des mises à jour de logiciel et des correctifs de sécurité. Cependant, les organisations ne possèdent pas toujours les ressources ou la main-d'œuvre nécessaires pour devancer les pirates qui cherchent en permanence à infiltrer le plus grand nombre de sites Web possible afin de réunir des données sensibles ou d'implanter un code malveillant. CNET News : "AT&T-iPad hacker indicted, report says", 7 juillet 2011 - http://news.cnet.com/8301-1035_3-20077699-94/at-t-ipad-hackerindicted-report-says/ CNET News : "AT&T Web site exposes data of 114,000 iPad users", 10 juin 2010 - http://news.cnet.com/8301-27080_3-20007309-245.html 3 Symantec : Internet Security Threat Report, Volume 16, mars 2011 - http://www.symantec.com/business/threatreport/ 4 Ponemon Institute : "Perceptions About Network Security.", juin 2011 - http://www.juniper.net/us/en/local/pdf/additional-resources/ ponemon-perceptions-network-security.pdf 5 Ponemon Institute et Symantec : "2010 Annual Study: U.S. Cost of a Data Breach.", mars 2011 - http://bit.ly/fwlC6j 6 Javelin Strategy and Research: “2011 Identity Fraud Survey Report.” March 2011 - https://www.javelinstrategy.com/brochure/192 7 Symantec : Internet Security Threat Report, Volume 16, mars 2011 - http://www.symantec.com/business/threatreport / 1 2 3 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Les attaques les plus dangereuses sont celles pouvant être automatisées, comme les injections SQL, dont les pirates se servent pour accéder à votre base de données et les attaques XSS (cross-site scripting) qui permettent aux pirates d'ajouter des codes sur votre site Web pour exécuter des tâches. Ces méthodes peuvent permettre aux cybercriminels de contrôler l'application Web et d'accéder facilement aux serveurs, aux bases de données et aux autres ressources informatiques. Une fois que les assaillants ont accès à ces ressources, ils peuvent compromettre les numéros de carte de crédit et d'autres informations confidentielles. Symantec a recensé plus de 3 milliards d'attaques par des logiciels malveillants en 2010, et le volume d'attaques Web a augmenté de près de 90 % depuis 2009. Une partie de cette hausse est imputable à la progression des scripts automatisés et des kits d'attaque Web. Ces kits se composent généralement de codes malveillants pré-écrits visant à exploiter des vulnérabilités, et permettent de lancer facilement des attaques à grande échelle, notamment à des fins d'usurpation d'identité. Les solutions traditionnelles sont coûteuses et complexes La gestion des vulnérabilités se complique à mesure que le risque d'attaques Web et de violations de données augmente. De nombreuses solutions traditionnelles sont conçues pour les grandes entreprises devant se plier à des règles de conformité strictes, comme les normes de sécurité des données de l'industrie des cartes de paiement (ICP). Ces solutions sont conçues pour détecter un nombre limité de menaces, elles peuvent générer un important volume de données inutiles sur des vulnérabilités mineures et masquer les mesures de sécurité essentielles devant être prises immédiatement. Dans ce contexte, il n'est pas surprenant que près de la moitié des organisations interrogées par le Ponemon Institute considère la complexité et les restrictions d'accès aux ressources informatiques comme les défis majeurs pour la mise en place des solutions de sécurité du réseau et que 76 % se prononcent en faveur de la rationalisation ou de la simplification des opérations. Simplifier la détection des vulnérabilités Web : une approche externalisée Pour devancer les pirates, les organisations ont besoin d'une solution de pointe qui leur permette d'identifier rapidement et facilement les vulnérabilités les plus critiques de leurs sites Web. Symantec™ propose un service de détection des vulnérabilités basé sur le cloud et très simple d'utilisation, conçu pour vous aider à identifier rapidement les faiblesses les plus exploitables de votre site Web afin que vous puissiez prendre les mesures adéquates. Vue d'ensemble de la détection des vulnérabilités Web Le service de détection des vulnérabilités proposé par Symantec vous aide à identifier rapidement les faiblesses les plus exploitables de votre site Web. Fourni gratuitement à tout acheteur d'un certificat SSL Symantec™ Premium, Pro ou Extended Validation (EV), ce service complète la protection existante en offrant les fonctionnalités suivantes : • une analyse hebdomadaire automatique des vulnérabilités sur les pages Web publiques, les applications Web, les logiciels de serveur et les ports réseau ; • un rapport facilement exploitable qui identifie à la fois les vulnérabilités critiques nécessitant une investigation immédiate et les éléments présentant moins de risque ; • la possibilité d'effectuer une seconde analyse de votre site Web afin de confirmer que les vulnérabilités ont bien été résolues. Différence entre détection des vulnérabilités Web et recherche des logiciels malveillants La détection des vulnérabilités Web consiste à rechercher et signaler les points d'entrée des failles de sécurité. La recherche de logiciels malveillants, quant à elle, vise à tenter de localiser les logiciels nuisibles présents sur votre site et sur votre réseau. Si un programme malveillant se trouve sur votre site, cela signifie probablement qu'un point d'accès a déjà été utilisé. En corrigeant les vulnérabilités de votre site, vous contribuez à prévenir les éventuelles failles, notamment l'exploitation par des logiciels malveillants. 4 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Utilisée en conjonction avec votre certificat SSL Symantec™ et la recherche quotidienne de logiciels malveillants sur votre site Web, la détection des vulnérabilités vous aide à sécuriser votre site Web et à protéger vos clients. Configuration de votre service de détection des vulnérabilités Que ce soit dans le cadre d'un abonnement en cours, d'un renouvellement ou d'une nouvelle souscription, vous pouvez activer le service optionnel de détection des vulnérabilités par le biais de votre console de gestion Symantec™ Trust Center, Symantec™ Trust Center Enterprise ou Managed PKI for SSL*. Ce service s'appliquera au nom de domaine complet utilisé comme nom commun dans le certificat SSL associé. Si vous protégez plusieurs domaines avec des certificats SSL, vous pouvez activer la détection des vulnérabilités pour chacun d'entre eux depuis votre console de gestion. *Les options de configuration et d'alerte varient selon la console de gestion utilisée Détection des vulnérabilités La détection des vulnérabilités examine les points d'entrée les plus fréquemment utilisés pour les attaques les plus courantes. Une fois le service activé, la première analyse de vulnérabilité démarre sous 24 heures. Ensuite, le système analyse automatiquement votre site chaque semaine et vous pouvez programmer une analyse complémentaire quand vous le souhaitez. La détection des vulnérabilités examine les ports réseau les plus fréquemment utilisés (plus de 1 000 au total). L'analyse détecte les types de vulnérabilités les plus courants, notamment les logiciels périmés, les correctifs manquants, les attaques XSS (crosssite scripting), les injections SQL et les "portes dérobées" (ou backdoors). De plus, le système est mis à jour régulièrement, dès que de nouvelles vulnérabilités sont découvertes. 5 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Tableau 1. Détails des activités de détection des vulnérabilités Domaine Exemples d'éléments analysés Réseau Sondage des ports et analyse des données pour identifier de manière non intrusive les vulnérabilités potentielles. Serveur Apache HTTP (et plug-ins populaires) Logiciel pour serveur Web Microsoft IIS Tomcat JBoss Sendmail Logiciel SMTP Postfix Microsoft Exchange Server Services Telnet Services SSH Services FTP Systèmes Unix OpenSSH Logiciel SSH.com Daemons FTP populaires Microsoft ASP .NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP .NET, J2EE/JSP Systèmes CMS populaires (WordPress, Django, Joomla, Drupal, etc.) Frameworks Web Applications d'e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart, etc.) Logiciel de gestion du Web (phpMyAdmin) Logiciels de forum Applications de suivi de pub/stats Vulnérabilités des applications Web Problèmes potentiels liés à l'utilisation de certificats SSL Vulnérabilités XSS réflectives Vulnérabilité d'injection SQL de base Certificat SSL non approuvé (signé par une autorité de certification inconnue) Vérification de certificat auto-signé Non-concordance de nom courant de certificat Utilisation de chiffrement faible Certificats périmés ou révoqués Transmission de données non chiffrées Pages de connexion avec envoi de formulaire cible non SSL Si une vulnérabilité est détectée et que vous prenez des mesures pour corriger le problème, vous avez la possibilité de demander une seconde analyse afin de vérifier que la vulnérabilité a bien été corrigée. 6 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Consultation des rapports de détection des vulnérabilités Une fois l'analyse des vulnérabilités effectuée, vous pouvez obtenir un rapport complet sur les vulnérabilités de votre site Web (au format PDF) par le biais de votre console de gestion Symantec Trust Center, Symantec Trust Center Enterprise ou Managed PKI for SSL. Si des vulnérabilités critiques sont détectées lors de l'analyse, une alerte s'affiche dans votre console. Chaque rapport contient des données permettant au service informatique d'analyser les problèmes et de transmettre des informations claires à la direction. Le rapport souligne les vulnérabilités critiques en incluant des informations concernant chaque risque (sa gravité, la menace associée et son impact potentiel). Le rapport décrit également les actions correctives pour résoudre chaque problème. Conclusion Les pirates et les cybercriminels affinent constamment leurs attaques et leurs cibles : vous avez besoin d'outils pointus pour les devancer. En utilisant un service automatisé de détection des vulnérabilités pour identifier les faiblesses exploitables et prendre les mesures correctives nécessaires, vous pouvez réduire le risque d'exposition de votre site aux attaques des pirates. Le service de détection des vulnérabilités proposé par Symantec contribue à réduire le coût et la complexité de la gestion des vulnérabilités en offrant des analyses automatisées, des rapports facilement exploitables et une architecture basée sur le cloud ne nécessitant ni installation de logiciel ni maintenance. Cette solution constitue un bon point de départ pour les entreprises souhaitant évaluer rapidement l'importance des vulnérabilités de leur site Web. Le service de détection des vulnérabilités Web est également idéal pour les entreprises qui utilisent une solution d'analyse des vulnérabilités à des fins de conformité réglementaire (par exemple pour se conformer aux exigences de la norme PCI) et qui recherchent une solution complémentaire pour contrôler les résultats de celle-ci afin de bénéficier d'une couche de sécurité supplémentaire. Utilisée en conjonction avec votre certificat SSL Symantec et la recherche quotidienne de logiciels malveillants sur votre site Web, la détection des vulnérabilités vous aide à sécuriser votre site Web et à protéger vos clients. 7 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Glossaire Logiciel criminel Logiciels qui servent à commettre un acte illégal. A l'instar du cybercrime, ces logiciels incluent une grande partie des logiciels potentiellement ou réellement malveillants. Cross-Site Scripting (XSS) Attaques qui permettent aux intrus d'injecter des scripts non autorisés pour contourner les barrières de sécurité des navigateurs. Usurpation d'identité Vol et utilisation de l'identité d'un tiers à des fins frauduleuses ou illégales. Injection SQL Attaque sur le Web qui permet aux pirates de lancer des commandes SQL non autorisées à l'aide d'un code non sécurisé sur une partie d'un site connecté à Internet. Grâce à ces commandes SQL non autorisées, les informations confidentielles dans une base de données, ainsi que les ordinateurs hôtes de l'entreprise, deviennent accessibles. Vulnérabilité Dans un système informatique (ou un ensemble de systèmes), la vulnérabilité (universelle) est un état qui permet à un pirate d'exécuter des commandes au nom d'un autre utilisateur, d'accéder à des données qui sont normalement protégées par des restrictions d'accès, de se faire passer pour une autre entité ou de mener une attaque par déni de service. 8 Document technique : Réduire le coût et la complexité de la gestion des vulnérabilités Web Informations complémentaires Visitez notre site Web www.symantec.fr/ssl-certificates Pour en savoir plus Pour plus d’informations sur les certificats SSL de Symantec™, appelez le 0800 90 43 51 ou +41 (0) 26 429 77 24, ou envoyez un courrier électronique à l’adresse [email protected] Le service de détection des vulnérabilités proposé par Symantec est fourni gratuitement à tout acheteur d’un certificat SSL Symantec Premium, Pro ou Extended Validation (EV). De plus, Symantec a identifié des fournisseurs de premier ordre capables de vous aider à éliminer les vulnérabilités de votre environnement et à garantir un fonctionnement optimal de votre site et de votre réseau. Ils regroupent notamment des consultants et des fournisseurs de logiciels, tous spécialisés dans la correction des vulnérabilités. Pour contacter un spécialiste produit Appelez le 0800 90 43 51 ou +41 (0) 26 429 77 24 A propos de Symantec Symantec est un leader mondial dans le domaine des solutions de sécurité, de stockage et de gestion des systèmes destinées à aider les particuliers et les entreprises à sécuriser et gérer leur environnement informatique. Nos logiciels et services permettent d'assurer une protection plus complète et plus efficace contre davantage de risques à différents points et d'instaurer ainsi la confiance, quel que soit l'endroit où les informations sont utilisées ou stockées. Symantec Tour Egée 17 avenue de l'Arche La Défense 6 92671 Courbevoie Cedex www.symantec.fr .