Une nouvelle étude Forrester souligne les tendances observées en sécurité applicative

Au premier trimestre 2013, DenyAll a commissionné Forrester Consulting pour réaliser une étude sur les tendances de la sécurité applicative, auprès de 50 entreprises européennes (situées en France, Grande Bretagne et Allemagne). Il ressort les points suivants de ce rapport :

 ? En raison de pressions liées à la mise en production accélérée des applications et à l’expertise sécurité requise dans leur développement, seulement 40% des entreprises déclarent avoir une politique de sécurité applicative mûre et complète ;

 ? La formation des développeurs est perçue comme une approche à long-terme par 60% des entreprises interrogées, qui ne permet pas à court-terme d’assurer de la sécurité du code, ou n’est pas suffisante en soi ;

 ? Les Web Application Firewalls (WAF) sont le moyen le plus répandu pour sécuriser les applications, et 75% des répondants ont déployé ou prévu de déployer un WAF dans un proche avenir.

L’étude montre que les professionnels de la sécurité applicative attribuent aux WAFs les avantages suivants : protection efficace contre les attaques de type injections et cross-site scripting, flexibilité, et possibilité de patcher rapidement les vulnérabilités applicatives, via l’intégration avec des outils de test dynamique de la sécurité des applications (Dynamic Application Security Testing en anglais, ou DAST). Le rapport complet est disponible sur le site web de DenyAll.

Une solution innovante pour patcher les vulnérabilités des applications
Le patching virtuel des applications est le processus par lequel les paramètres d’un WAF sont modifiés en fonction des résultats d’un audit de vulnérabilités. Il vise à empêcher l’exploitation des vulnérabilités jusqu’à leur réduction définitive, via une mise à jour du code ou à l’installation d’un patch système, par exemple. Le patching virtuel permet de réduire la période de temps pendant laquelle les données de l’entreprise sont exposées aux attaques potentielles.
Depuis l’acquisition de VulnIT à l’été 2012, DenyAll s’emploie à intégrer ses technologies WAF et DAST. De nouvelles versions de ses principaux produits, DenyAll rWeb 4.1 feature pack 1 (FP1) et DenyAll Detect 5.1, constituent la première étape vers la livraison de la solution intégrée de sécurité applicative qui est au coeur de la vision de la société.

Cette solution est la première à fournir des recommandations granulaires d’ajustement de la politique de sécurité, qui permettent aux administrateurs de gagner du temps et de prendre des décisions adaptées à leurs priorités. Les rapports de scans peuvent être facilement exportés depuis les produits DenyAll Detect, pour être importés directement dans rWeb. Après l’import, le WAF propose des recommandations à l’administrateur pour ajuster la politique de sécurité actuelle. Différentes options sont possibles, en fonction de la vulnérabilité découverte et des priorités de l’entreprise : minimiser les faux positifs, maximiser la sécurité ou maximiser la performance.

Améliorer la protection des applications modernes avec les moteurs de détection avancée

Avec le feature pack 1, tous les produits DenyAll Protect bénéficient de nombreuses améliorations et nouvelles fonctions, comme la compression des logs, le routage syslog, et un planificateur pour l’automatisation des tâches. rWeb 4.1 FP1, le produit le plus complet de la gamme DenyAll Protect, inclut également le patching virtuel et de nouveaux moteurs de sécurité. Les moteurs de détection avancée ont été conçus pour lutter contre les tentatives d’évasion des WAFs, améliorer la protection contre les attaques modernes et la sécurité des applications basées sur de nouveaux langages. Ils incluent :

 ? Une nouvelle approche de protection contre les injections SQL, basée sur l’analyse grammaticale des données transmises ;

 ? Un moteur de détection des injections par langage de script, pour une protection contre les blocs imbriqués en Java, PHP, SSI et Javascript ;

 ? Une protection contre le Response Splitting HTTP ;

 ? La possibilité de bloquer les attaques XSS utilisant les tags et attributs HTML4/5 ;

 ? Une protection avancée contre les tentatives de confusion par directory traversal.

Une automatisation améliorée avec Detect 5.1

DenyAll fait aussi évoluer ses scanneurs de vulnérabilités afin de prendre en compte les besoins de ses clients. La dernière version 5.1 de DenyAll Vulnerability Manager inclut de nouvelles fonctions axées sur la gestion des actifs, la délégation des tâches et l’amélioration des performances :

 ? Gestion des actifs :
o Classement groupé et automatique des actifs sur la base de critères prédéfinis,
o Lancement d’une analyse directement depuis l’inventaire, ou depuis les tickets,
o Rapport des analyses en profondeur, pour suivre le niveau de sécurité applicative de l’entreprise dans le temps.

 ? Délégation et ségrégation des tâches :
o Création de groupes utilisateurs, qui peuvent être associés à des groupes d’actifs,
o Un nouveau modèle de délégation, permettant l’assignation d’actifs et de tâches à des personnes spécifiques, répond aux besoins des grands comptes et hébergeurs.

 ? Performance :
o Des performances améliorées pour le démarrage d’OpenVAS,
o Un nouveau test de mots de passe pour Unix et SGBD en mode boite blanche,
o Une nouvelle barre de tâche, qui affiche l’état d’avancement des scans en cours.

Webinars à venir

Pour plus d’informations sur les nouveaux moteurs de sécurité de rWeb 4.1 FP1 et sur l’approche originale du patching virtuel de DenyAll, participez au Webinar du 23 Avril. Vous êtes également conviés au prochain webinar « CTO Talk » sur les risques liés à HTML5, le 29 Mai. Inscriptions : http://www.denyall.com/actualites/evenements_fr.