Découvrir les vulnérabilités au sein des applications Web
Transcription
Découvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d’enquête 2012 sur les compromissions de données publié par Verizon Business, les applications Web vulnérables sont à l’origine de 54% de l’ensemble des opérations de piratage et de 39% des enregistrements compromis dans les grandes entreprises. En réaction, la plupart des entreprises ont mis en place une équipe chargée de la sécurité des applications et déployé des moyens technologiques pour réduire au minimum ces vulnérabilités. Cependant, d’après les statistiques de Verizon, les processus et les technologies utilisés pour gérer les risques au sein des applications Web ne sont généralement pas puissants et doivent être améliorés. Ceci en raison de l’absence d’un catalogue fiable et complet de toutes les applications Web utilisées par l’entreprise et de l’incapacité d’analyser automatiquement les vulnérabilités sur des centaines voire des milliers d’applications Web. Ce document explique comment les grandes entreprises peuvent découvrir, cataloguer et analyser efficacement leurs applications Web pour contrôler ce vecteur de risque majeur dans le cadre d’un programme global de gestion des vulnérabilités dans l’entreprise. SOMMAIRE Appel à la mobilisation pour sécuriser les applications Web Appel à la mobilisation pour La vulnérabilité des applications Web dans les grandes entreprises constitue un risque énorme. Comme l’indique la toute dernière étude sur les compromissions de données réalisée par Verizon sécuriser les applications Web 1 Facteurs de prévention efficaces pour sécuriser les applications Web 2 Meilleures pratiques pour la sécurité des applications Web 2 Une découverte et un catalogage puissants des applications Web avec QualysGuard WAS 3 À propos de QualysGuard WAS 5 À propos de QualysGuard Cloud Platform 5 Business, 54% des exploits réussis ont profité d’une vulnérabilité au sein d’une application Web pour capturer 39% des enregistrements compromis.1 Les criminels ciblent désormais les applications Web notamment parce que les entreprises sont parvenues à mettre un terme à de nombreux exploits traditionnels en recourant à de puissantes défenses périmétriques. Cette étude fait remarquer : « La nécessité inhérente à de nombreuses applications Web d’être visibles sur Internet en fait des cibles logiques ; la possibilité de les utiliser comme point d’entrée dans une base de données d’entreprise en fait des cibles intéressantes. » L’étude menée par Verizon a permis de découvrir que les serveurs Web/d’applications ainsi que les serveurs de bases de données représentaient la catégorie d’actifs compromis la plus importante dans les entreprises de plus grande taille -33% de l’ensemble des compromissions pour les deux types de serveur, avec respectivement 82% et 98% de tous les enregistrements.2 Une fois qu’ils ont abusé d’une application Web vulnérable pour pénétrer sur le réseau de l’entreprise, les criminels peuvent causer des dégâts majeurs aux actifs connectés. Le danger est une fausse impression de sécurité pour les entreprises qui ont mis en place une équipe dédiée à la sécurité des applications et déployé des contrôles rudimentaires pour s’attaquer au vecteur de menace que représentent les applications Web. En effet, ces entreprises pensent peut-être qu’elles sont protégées contre les exploits liés aux applications Web, mais en réalité les __________________________________________ 1 Verizon Business, Rapport d’enquête 2012 sur les compromissions de données, pp. 32-33 à l’adresse http://www.verizonbusiness.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromissions_De_Donnees_fr_xg.pdf 2 Verizon Business, Rapport d’enquête 2012 sur les compromissions de données, pp. 39. Découvrir les vulnérabilités au sein des applications Web 2 données collectées par Verizon indiquent que les mesures existantes ne sont certainement pas assez puissantes. L’UTILISABILITÉ DU SCANNER EST VITALE POUR LES GRANDES ENTREPRISES Certains problèmes d’utilisabilité d’autres scanners peuvent nuire à leur efficacité. Par exemple : • Une configuration complexe qui ne permet l’analyse que de 50 à 100 applications par an par un ingénieur bien formé. • Les silos de données de chaque application qui ne peuvent s’intégrer à une vue à l’échelle de l’entreprise. • L’absence d’intégration aux données d’analyse de gestion des vulnérabilités de l’entreprise. • L’hébergement sur une seule station de travail d’un scanner qui limite l’évolutivité pour analyser simultanément des milliers d’applications Web distribuées. • Les scanners hébergés en interne qui empêchent des analyses externes concrètes et peuvent empêcher les développeurs de tester le code. • Une formation intensive qui s’avère nécessaire pour la configuration des analyses complexes. • Une politique de licence et de mise à jour complexe qui inhibe l’analyse de milliers d’applications. • Facteurs de prévention efficaces pour sécuriser les applications Web Pour réduire le nombre d’applications Web vulnérables, il est primordial d’analyser les applications et d’identifier celles qui comportent du code non fiable, puis de corriger ce code dans chaque application afin d’éliminer la vulnérabilité associée. Ces attaques s’appuient généralement sur l’injection de fautes, une technique permettant d’exploiter les vulnérabilités de la syntaxe et de la sémantique d’une application Web. L’injection de codes SQL, les scripts intersite (XSS) et les falsifications de requêtes intersite (CSRF) figurent parmi les exemples d’attaques. Ces attaques insèrent des caractères ou des scripts dans la requête dans le but d’altérer le workflow logique et de déclencher un exploit. Un scanner DAST (Dynamic Application Security Testing) est la solution la plus rapide pour localiser ces vulnérabilités. D’autres vulnérabilités peuvent exiger l’examen ligne à ligne du code source de l’application, l’analyse et la reconfiguration de l’application ou des paramètres système ou encore la redéfinition de l’architecture d’une solution. Il n’existe pas de solution miracle pour découvrir toutes les vulnérabilités au sein des applications Web. Néanmoins, l’utilisation d’un scanner DAST performant permet de détecter rapidement les problèmes majeurs et de mettre votre équipe chargée de la sécurité des applications sur la voie de la remédiation. Dépendre d’un scanner aux ressources de détection des vulnérabilités médiocres est un facteur susceptible de compromettre le succès de l’opération. Il est vital que votre scanner puisse identifier avec précision les vulnérabilités critiques telles que les injections de codes SQL et les scripts XSS et mettre à jour en permanence les signatures à mesure que les menaces évoluent. Autre facteur négatif : l’utilisation d’un scanner incapable d’intégrer la complexité et l’évolutivité qu’exigent les grandes entreprises qui possèdent des centaines voire des milliers d’applications Web. Les caractéristiques d’un scanner peuvent sembler bonnes sur le papier, mais si son utilisabilité à l’échelle de l’entreprise est médiocre, compter sur un tel outil met votre entreprise dans une position fort vulnérable. Le contenu de la colonne de gauche décrit huit facteurs qui limitent l’utilisabilité d’un scanner par l’entreprise. Le facteur le plus important et le plus fondamental est que beaucoup de grandes entreprises ne possèdent pas de catalogue de toutes leurs applications Web. Il n’est pas possible de pointer votre scanner sur une application si cette dernière n’est pas visible de l’équipe chargée de la sécurité. MEILLEURES PRATIQUES POUR LA SÉCURITÉ DES APPLICATIONS WEB Défi 1. Reconnaître la sécurité des applications Web comme un besoin critique. • S’engager à faire de l’éradication des vulnérabilités des sites Web l’une des priorités absolues de l’entreprise. • Concevoir et déployer des processus supérieurs et Un support médiocre qui interdit une analyse programmatique efficace. Tactique une technologie préventive. 2. Mesurer les retombées potentielles d’une faille pour déployer un programme complet. • Tenir compte des clients susceptibles de passer à la 3. Établir un programme de sécurité des applications Web à l’échelle de l’entreprise. • Tout mettre en œuvre pour développer, déployer et maintenir des applications Web sécurisées. concurrence, d’une baisse des ventes, d’une moindre utilisation de votre boutique en ligne par des clients craignant d’être victimes d’une faille, des amendes pour absence de conformité, des procédures légales et de l’impossibilité de pouvoir continuer à accepter des cartes de paiement. • Se concentrer sur la visibilité, l’évolutivité et les Découvrir les vulnérabilités au sein des applications Web 3 résultats à l’échelle de l’entreprise. 4. Recourir à l’automatisation pour découvrir et cataloguer les services applicatifs Web. 5. Ajouter l’analyse des applications Web à la gestion des vulnérabilités. • Automatiser la découverte et le catalogage à l’aide du scanner, sous peine de rendre l’analyse manuelle ingérable. • Accorder de l’importance à la sécurité des applications Web. Cette dernière exige des processus et une technologie évolutifs pour gérer toutes les applications Web dans le cadre d’une gestion des vulnérabilités à l’échelle de l’entreprise. 6. Comparer les critères pour sélectionner le bon scanner de sites Web. • Découvrir rapidement et efficacement toutes les applications Web utilisées dans l’entreprise. • Cataloguer et organiser toutes les applications Web. • Analyser rapidement et efficacement les vulnérabilités sur l’ensemble des applications Web. • Fournir un reporting complet avec une vue de la sécurité des applications Web à travers l’entreprise. 7. Avoir conscience des vulnérabilités majeures et connaître les fonctionnalités du scanner. • Traquer les principales vulnérabilités (par exemple CWE/SANS Top 25, OWASP Top 10, Web 8. Évoluer pour intégrer les exigences complexes de l’entreprise sans mobiliser une infrastructure, du personnel et un support trop importants. • Utiliser une solution dans le Cloud. Application Security Consortium Threat). • S’appuyer sur une technologie qui supporte un fonctionnement à base de profil. • Utiliser une technologie qui intègre les processus de gestion des vulnérabilités existants. Une découverte et un catalogage puissants des applications Web avec QualysGuard WAS La découverte automatisée des applications Web est une nouvelle fonction majeure de QualysGuard WAS, un service Cloud totalement intégré à la plate-forme dans le Cloud et à la suite de solutions de sécurité et de conformité QualysGuard. La découverte est la première étape du cycle de vie de l’analyse des applications Web. Il s’agit également d’une étape cruciale qui pose les fondements du contrôle de la sécurité des applications Web à l’échelle de l’entreprise. En outre, QualysGuard WAS analyse votre réseau pour APPLICATIONS WEB identifier tous les services HTTP en surveillant l’activité des applications Web. Ces services sont automatiquement intégrés à votre catalogue d’applications Web et reçoivent le statut « Nouveau ». Ensuite, ces applications peuvent être analysées et organisées d’après leur statut : « Inconnu », « Approuvé » ou « Ignoré ». Les administrateurs peuvent s’appuyer sur ces statuts pour déterminer les applications Web à ajouter à l’analyse. Une fois ajoutées, ces applications Web se voient attribuer le statut « Souscrit » (« In Subscription ») dans le catalogue. La découverte des services applicatifs Web a pour but d’enrichir un catalogue d’entreprise en y renseignant les détails techniques et le statut de chaque application Web. Un exemple est donné ci-dessous. Découvrir les vulnérabilités au sein des applications Web FONCTIONNALITÉS DE QUALYSGUARD WAS Tableau de bord unifié. Pour fournir une vue complète des analyses, résultats et rapports. Découverte, catalogage et analyse des applications Web. Pour garantir une analyse et une gestion des applications exhaustives pour les grandes entreprises. Reporting interactif. Pour procéder à une analyse puissante et à une distribution sécurisée des résultats du scan. Intégration à Selenium. Pour autoriser des séquences d’authentification complexes et Les grandes entreprises peuvent également s’appuyer sur un mécanisme de marquage des actifs personnalisable pour partitionner de manière hiérarchique les applications Web, les données étendre la navigation au sein des workflows. d’analyse et le reporting. Ce marquage permet de limiter l’accès des utilisateurs aux seuls actifs avec lesquels ils partagent un tag. Analyse authentifiée. Pour Un tableau de bord offre un accès pratique à l’ensemble des données de sécurité pour les applications Web, les analyses, les rapports, les configurations, les utilisateurs et une base de identifier automatiquement la (les) page(s) de connexion à un formulaire HTML et surveiller l’état de la session via le navigateur Web et maintenir ainsi l’authentification d’une l’analyse pendant toute la session de navigation. Profils d’analyse ciblés. Pour analyser la sécurité de vos applications Web et identifier les vulnérabilités détectées, les données sensibles ainsi que les données à caractère informatif. Options d’analyse. Pour répondre aux besoins de l’entreprise via de puissantes options. connaissances afin de remédier les vulnérabilités. Pour consulter les détails, il suffit d’explorer le tableau de bord. Un exemple est donné ci-dessous. 4 Découvrir les vulnérabilités au sein des applications Web 5 Avantages de QualysGuard WAS. Profitez de la puissance et de l’évolutivité du Cloud pour identifier les risques liés aux applications Web à travers votre entreprise. • Exhaustivité. Découverte, catalogage et gestion de toutes les applications Web pour garantir une couverture complète. • Productivité. Interface utilisateur intuitive et processus hautement automatisés pour accroître la productivité. • Économies. Solution la plus rentable car offrant un nombre illimité d’analyses des applications Web. • Évolutivité. Analyse automatisée de milliers applications Web via une gestion centralisée pour fournir une approche organisée et basée sur la coopération dans toute l’entreprise. POUR EN SAVOIR PLUS Nous restons à votre disposition si vous souhaitez en savoir plus sur la manière dont QualysGuard Web Application Scanning (WAS) peut aider votre entreprise à découvrir, cataloguer, analyser et contrôler ces risques à l’aide d’une solution dans le Cloud évolutive. Pour plus de détails, contactez votre représentant Qualys et rendez-vous sur http://www.qualys.com/enterprises /web-applications/ À propos de QualysGuard WAS Service d’analyse des applications Web, QualysGuard WAS s’appuie sur l’évolutivité de la plateforme dans le Cloud QualysGuard pour donner aux entreprises les moyens de découvrir, de cataloguer et d’analyser toutes les applications Web de l’entreprise. QualysGuard WAS parcourt et analyse les applications Web personnalisées et identifie les vulnérabilités qui menacent les bases de données sous-jacentes ou qui contournent les contrôles d’accès aux applications. Ces applications Web sont souvent les principaux vecteurs d’attaque des cybercriminels. À propos de QualysGuard Cloud Platform Produit phare de Qualys, QualysGuard Cloud Platform et sa suite de solutions intégrées de sécurité et de conformité permettent aux entreprises de toute taille d’avoir une vue globale du niveau de sécurité et de conformité de leur environnement informatique, tout en réduisant fortement leur coût total de possession. Les solutions QualysGuard, notamment pour la gestion des vulnérabilités et de la conformité, l’analyse des applications Web, la détection des codes malveillants ainsi que le sceau de confiance Qualys SECURE qui teste la sécurité des sites Web sont désormais utilisées par plus de 6000 entreprises dans 100 pays et réalisent plus de 600 millions d’audits IP par an. Qualys, Inc. – Siège social 1600 Bridge Parkway Redwood Shores, CA 94065 États-Unis Tél.: 1 (800) 745 4355 Qualys est société d’envergure mondiale avec des représentations dans le monde entier. Pour connaître le bureau le plus proche de chez vous, rendez-vous sur http://www.qualys.com © Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Tous les autres produits ou noms sont la propriété de leurs détenteurs respectifs. 8/12