SWAT BROCHURE
SÉCURITÉ DES APPLICATIONS WEB
LA SOLUTION D’ANALYSE
IDÉALE POUR LES APPLICATIONS WEB
La sécurité des applications Web s’est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles sur le marché. La première solution consiste à faire l’acquisition d’un scanner d’applications Web de base avec une capacité très limitée ; cette option devrait être évitée indéniablement, particulièrement pour les entreprises ayant une marque prestigieuse associée à une présence en ligne.
La seconde solution est d’acheter un scanner Web nécessitant des spécialistes de la sécurité expérimentés pour l’exécuter d’une manière efficace quotidiennement. Cette option peut augmenter considérablement les coûts d’ex- ploitation annuels, garder des techniciens qualifiés comme employés à temps plein étant onéreux, et ceci nécessitant également une formation poussée.
La troisième solution est d’engager une entreprise de sécurité pour effectuer des tests d’intrusion élaborés sur les différents sites Web de l’entreprise, identifiant toutes les menaces immédiates. Bien que cette option soit extrême- ment précise, elle est malheureusement considérée comme un remède à court terme, de nouvelles formes d’attaque étant introduites tous les jours et les applications Web changeant fréquemment.
SWAT (Secure Web Application Tactics) est une solu- tion conjuguant des outils d’analyse d’avant-garde et des experts de la sécurité, qui fournit la solution d’anal- yse d’applications Web la plus précise et la plus fiable disponible sur le marché.
La technologie intelligente utilisée dans SWAT lui per- met d’identifier et d’appréhender les nouvelles menac- es, et de modifier son comportement en conséquence sans interférer avec les opérations quotidiennes.
SWAT produit des résultats avec zéro faux positifs, ne nécessite pas de formation spécifique, et inclut une as- sistance technique spécialisée disponible 24/7. SWAT fournit en outre une surveillance permanente, garantit que les sites Web des clients restent protégés même lorsque les applications Web changent ou lorsque de nouveaux modes d’attaque sont introduits.
AVANTAGES DE LA SOLUTION
Solution : une combinaison d’outils d’analyse d’avant-garde et d’experts de la sécurité de pointe
Les tests de détection des problèmes relatifs à la con- fidentialité, les restrictions d’accès ou les attaques par élévation de privilèges sont très subjectifs et difficiles à réaliser pour un outil traditionnel ; ils dépendent com- plètement de la perception humaine du comportement prévu des applications.
SWAT remédie à ce problème par le biais de ses fonctions d’apprentissage avancées, le processus d’intégration et des services de vérification précis, asso- ciés au support d’experts de la sécurité expérimentés, parvenant à une couverture totale également pour ce type de menace.
Solution : analyse, vérification, tests et élimina- tion des faux positifs
SWAT fournit des rapports avec des informations vérifiées auparavant par des experts de la sécurité. Ces rapports éliminent le problème des faux positifs et per- mettent aux clients d’atténuer leurs risques rapidement.
Solution : analyse sans risques pour la production Les applications Web ont souvent un large éventail de fonctionnalités qui peuvent être affectées lors de l’ex- écution d’une analyse, et les interventions techniques peuvent également provoquer des perturbations : par exemple, certaines commandes de base de données peuvent entraîner l’exécution d’actions indésirables.
SWAT respecte les réglementations les plus strict- es pour garantir des pratiques d’analyse sûres, en évitant de perturber la disponibilité ou l’intégrité des informations.
Solution : assistance technique spécialisée 24/7 Outpost24 propose une assistance technique spécial- isée disponible 24/7. Les clients peuvent poster des questions concernant les vulnérabilités nouvellement identifiées directement dans l’interface, et recevoir les réponses des spécialistes de la sécurité qui peu- vent être utilisées pour repérer les vulnérabilités.
Solution : contrôle permanent
SWAT est une solution intelligente capable d’identifier et de réagir face aux nouvelles menaces en modifi- ant ses modes de comportement en conséquence.
SWAT contrôle en permanence les applications Web, détectant les nouvelles modifications telles que les nouvelles pages ou les nouveaux contenus. Lors de l’analyse, la solution utilise une intensité et une charge très faibles sur une longue durée, assurant une couver- ture maximale tout en produisant un impact moindre.
Défi : les scanners d’applications Web ne sont pas en mesure de tester la logique d’une application
Défi : des détections imprécises entraînant des décou- vertes erronées et des vulnérabilités manquées
Défi : les scanners de sécurité dégradent souvent les applications Web et interfèrent avec les opérations quotidiennes
Défi : les vulnérabilités techniques sont souvent diffi- ciles à comprendre, et une assistance spécialisée peut être nécessaire pour fournir des précisions
Défi : les applications Web changent fréquemment, intro- duisant de nouvelles fonctions et de nouveaux contenus
OWASP top 10 2013 SWAT
A1-Injection
A3-Cross-Site Scripting (XSS)
A5-Security Misconfiguration A6-Sensitive Data Exposure A2-Broken Authentication
and Session Management Poorly supported
Poorly supported
Poorly supported
Low accuracy
Low accuracy and coverage Only default types A4-Insecure Direct
Object References
A7-Missing Functio Level Access Control A8-Cross-Site Request Forgery (CSRF)
A9-Using Components with Known Vulnerabilities
A10-Unvalidated Redirects and Forwards
COMPARAISON TECHNIQUE
Le projet OWASP TOP 10 (Open Web Application Security Project Top 10) inclut les vulnérabilités trouvées et sig- nalées le plus fréquemment dans les applications Web.
Il regroupe les découvertes de vulnérabilité en familles ; alors que les offres de scanner Web traditionnelles ne trait- ent que des sous-ensembles des différentes familles de menaces, obtenant souvent 75 % de faux négatifs.
Outils
automatisés Tests d’intrusion
Le tableau Contrôle et suivi ci-dessous présente un examen de la sécurité effectué à l’encontre d’une application, sa capacité de détection des changements apportés à cette application au fil du temps, et sa capacité de compréhen- sion et de fonctionnement avec une application dynamique.
Même si des tests d’intrusion rigoureux sont très approfondis et incluent une couverture maximale, ils sont très lim- ités dans leur capacité à maintenir des niveaux de sécurité élevés au fil du temps.
Contrôle et
couverture SWAT
Zero Touch Configuration Maximum links
Continuous detection Test new deployed content Detect changed credentials Rogue website detection Time available for a test Smart form testing
Often 2000-8000 If implemented in the process
Dictated by time Unlimited
Poorly
Rarely Rarely
Often a week Continuous
Often 12-24 hours
FINDINGS VUE APPLICATION VUE
Outils
automatisés Tests d’intrusion
Le tableau Sécurité de la production fait référence aux risques inhérents lorsqu’un scanner ou un test affecte l’objet de test. Souvent, les tests d’intrusion ne protègent pas la production, sauf si cela est spécifié sur demande spécifique lorsque ceci est considéré comme une priorité essentielle pour le client.
La sécurité de la production est essentielle pour les applications critiques où l’intégrité des données est très impor- tante, et des cas de test mal exécutés ont une incidence sur l’expérience des applications des utilisateurs finals.
Sécurité de la
production SWAT
Production safe testing
Low traffic and database intensity Submit forms only when safe Prevents dangerous link use
Medium
Outils
automatisés Tests d’intrusion
Le tableau Vérification et orientation fait référence au niveau d’expertise nécessaire pour une organisation pour pouvoir utiliser et tirer profit d’une solution au fil du temps. La sécurité des applications Web est une compétence spécialisée, dont la maintenance au sein d’une organisation est souvent onéreuse.
Verificación y orientación SWAT
False positives removed Proof of exploitability provided Vulnerability rating put in context Context-aware CVSS scoring Unlimited re-testing and verifications Ask experts for advice on remediation Smart vulnerability grouping
Poorly
Retests rarely possible
Sometimes
On delivery only VULNERABILITY DISCUSSION VUE
Outils
automatisés Tests d’intrusion
À PROPOS D’OUTPOST24
Fondée en 2001; Outpost24 est une entreprise de gestion des vulnérabilités fournissant les meilleures solutions pour aider les utilisateurs à identifier et atténuer les faiblesses dans leur réseau. Outpost24 fournit des alertes de vulnérabil- ité en temps réel et des rapports basés sur des solutions qui facilitent la reconnaissance instantanée des menaces imminentes. Avec plus de 40 sites dans le monde, Outpost24 analyse collectivement plus de 400 millions d’adresses IP chaque semaine, et détecte plus de 12 000 vulnérabilités quotidiennement. Plus de 2000 entreprises dans le monde entier font confiance à Outpost24 pour protéger leurs réseaux internes et externes ; d’organismes gouvernementaux à des établissements financiers ; et d’enseignes internationales à des opérateurs de télécommunications. Pour plus