DenyAll innove avec le patching virtuel et rapide des vulnérabilités

Communiqué de presse
Paris, le 17 Avril 2013
DenyAll innove avec le patching virtuel et rapide
des vulnérabilités applicatives
Une étude de Forrester Consulting, commissionnée par DenyAll, met en avant les avantages
du patching virtuel des vulnérabilités applicatives, en termes de flexibilité et de temps de
réponse aux attaques modernes. Le patching virtuel est au cœur de la stratégie d’intégration
de DenyAll entre pare-feux applicatifs web et scanneurs de vulnérabilités, qui se matérialise
avec de nouvelles versions de ses produits Protect et Detect. De plus, les nouveaux moteurs
de sécurité de DenyAll rWeb 4.1 feature pack 1 fournissent un niveau de protection jamais
atteint contre les attaques modernes qui ciblent les applications.
Une nouvelle étude Forrester souligne les tendances observées en sécurité applicative
Au premier trimestre 2013, DenyAll a commissionné Forrester Consulting pour réaliser une étude sur
les tendances de la sécurité applicative, auprès de 50 entreprises européennes (situées en France,
Grande Bretagne et Allemagne). Il ressort les points suivants de ce rapport :



En raison de pressions liées à la mise en production accélérée des applications et à
l’expertise sécurité requise dans leur développement, seulement 40% des entreprises
déclarent avoir une politique de sécurité applicative mûre et complète ;
La formation des développeurs est perçue comme une approche à long-terme par 60%
des entreprises interrogées, qui ne permet pas à court-terme d’assurer de la sécurité du
code, ou n’est pas suffisante en soi ;
Les Web Application Firewalls (WAF) sont le moyen le plus répandu pour sécuriser les
applications, et 75% des répondants ont déployé ou prévu de déployer un WAF dans un
proche avenir.
L’étude montre que les professionnels de la sécurité applicative attribuent aux WAFs les avantages
suivants : protection efficace contre les attaques de type injections et cross-site scripting, flexibilité, et
possibilité de patcher rapidement les vulnérabilités applicatives, via l’intégration avec des outils de
test dynamique de la sécurité des applications (Dynamic Application Security Testing en anglais, ou
DAST). Le rapport complet est disponible sur le site web de DenyAll (www.denyall.com).
Une solution innovante pour patcher les vulnérabilités des applications
Le patching virtuel des applications est le processus par lequel les paramètres d’un WAF sont
modifiés en fonction des résultats d’un audit de vulnérabilités. Il vise à empêcher l’exploitation des
vulnérabilités jusqu’à leur réduction définitive, via une mise à jour du code ou à l’installation d’un
patch système, par exemple. Le patching virtuel permet de réduire la période de temps pendant
laquelle les données de l’entreprise sont exposées aux attaques potentielles.
Depuis l’acquisition de VulnIT à l’été 2012, DenyAll s’emploie à intégrer ses technologies WAF et
DAST. De nouvelles versions de ses principaux produits, DenyAll rWeb 4.1 feature pack 1 (FP1) et
DenyAll Detect 5.1, constituent la première étape vers la livraison de la solution intégrée de sécurité
applicative qui est au cœur de la vision de la société.
Cette solution est la première à fournir des recommandations granulaires d’ajustement de la
politique de sécurité, qui permettent aux administrateurs de gagner du temps et de prendre des
décisions adaptées à leurs priorités. Les rapports de scans peuvent être facilement exportés depuis
les produits DenyAll Detect, pour être importés directement dans rWeb. Après l’import, le WAF
propose des recommandations à l’administrateur pour ajuster la politique de sécurité actuelle.
Différentes options sont possibles, en fonction de la vulnérabilité découverte et des priorités de
l’entreprise : minimiser les faux positifs, maximiser la sécurité ou maximiser la performance.
Améliorer la protection des applications modernes avec les moteurs de détection avancée
Avec le feature pack 1, tous les produits DenyAll Protect bénéficient de nombreuses améliorations et
nouvelles fonctions, comme la compression des logs, le routage syslog, et un planificateur pour
l’automatisation des tâches. rWeb 4.1 FP1, le produit le plus complet de la gamme DenyAll Protect,
inclut également le patching virtuel et de nouveaux moteurs de sécurité. Les moteurs de détection
avancée ont été conçus pour lutter contre les tentatives d’évasion des WAFs, améliorer la protection
contre les attaques modernes et la sécurité des applications basées sur de nouveaux langages. Ils
incluent :





Une nouvelle approche de protection contre les injections SQL, basée sur l’analyse
grammaticale des données transmises ;
Un moteur de détection des injections par langage de script, pour une protection contre les
blocs imbriqués en Java, PHP, SSI et Javascript ;
Une protection contre le Response Splitting HTTP ;
La possibilité de bloquer les attaques XSS utilisant les tags et attributs HTML4/5 ;
Une protection avancée contre les tentatives de confusion par directory traversal.
Une automatisation améliorée avec Detect 5.1
DenyAll fait aussi évoluer ses scanneurs de vulnérabilités afin de prendre en compte les besoins de
ses clients. La dernière version 5.1 de DenyAll Vulnerability Manager inclut de nouvelles fonctions
axées sur la gestion des actifs, la délégation des tâches et l’amélioration des performances :



Gestion des actifs :
o Classement groupé et automatique des actifs sur la base de critères prédéfinis,
o Lancement d’une analyse directement depuis l’inventaire, ou depuis les tickets,
o Rapport des analyses en profondeur, pour suivre le niveau de sécurité applicative de
l’entreprise dans le temps.
Délégation et ségrégation des tâches :
o Création de groupes utilisateurs, qui peuvent être associés à des groupes d’actifs,
o Un nouveau modèle de délégation, permettant l’assignation d’actifs et de tâches à
des personnes spécifiques, répond aux besoins des grands comptes et hébergeurs.
Performance :
o Des performances améliorées pour le démarrage d’OpenVAS,
o Un nouveau test de mots de passe pour Unix et SGBD en mode boite blanche,
o Une nouvelle barre de tâche, qui affiche l’état d’avancement des scans en cours.
Webinars à venir
Pour plus d’informations sur les nouveaux moteurs de sécurité de rWeb 4.1 FP1 et sur l’approche
originale du patching virtuel de DenyAll, participez au Webinar du 23 Avril. Vous êtes également
conviés au prochain webinar « CTO Talk » sur les risques liés à HTML5, le 29 Mai. Inscriptions :
http://www.denyall.com/actualites/evenements_fr.
A propos de DenyAll
DenyAll est un éditeur de logiciel français spécialisé en sécurité applicative. La société fut l'un des pionniers du
Web Application Firewall en Europe. S'appuyant sur 15 années d'expérience dans la sécurisation et
l’accélération des applications et services web, DenyAll innove pour répondre aux besoins des entreprises de
toutes tailles. Ses produits détectent les vulnérabilités informatiques et protègent les infrastructures contre les
attaques ciblant la couche applicative. La société construit un écosystème de partenaires experts en sécurité,
d’infogérants et d’hébergeurs Cloud, et travaille avec d'autres éditeurs pour proposer des solutions dédiées à la
sécurisation et à l'accélération des applications. Plus d’informations sur www.denyall.com et le nouveau blog
www.denyall.com/securityblog/.
Contacts Presse :
Oxygen
DenyAll
Marion Avranche / Tatiana Graffeuil
Stéphane de Saint Albin
Tél. : +33 6 87 83 97 58
Tél. : +33 1 46 20 96 21
[email protected]
[email protected]
www.oxygen-rp.fr
www.denyall.com