Pour identifier plus efficacement et plus précisément – et mieux maîtriser – les menaces ciblant les systèmes de production par l’intermédiaire des applications, SecureSphere accepte les mises à jour de vulnérabilité effectuées à partir des outils d’analyse d’applications. En outre, la technologie Dynamic Profiling de SecureSphere – dont le brevet est en cours d’homologation – détecte automatiquement et documente les modifications apportées aux applications en temps réel avant de transmettre ces informations aux scanners. Cette fonctionnalité unique présente l’avantage d’étendre le champ d’application du cycle de vie de la sécurité des applications, en autorisant l’analyse et l’évaluation en continu d’applications à grande échelle, déployées dans les environnements de production.

Intégration du cycle de vie de la sécurité des applications Web

L’intégration totale de SecureSphere aux solutions de Cenzic, de HP, d’IBM et de NT Objectives donnera aux clients communs d’Imperva et de ces éditeurs les moyens de détecter plus rapidement les vulnérabilités de leurs applications Web et de se protéger plus efficacement contre les menaces associées. Les solutions suivantes pourront être intégrées à SecureSphere :

Hailstorm de Cenzic : logiciel de gestion et de test des vulnérabilités en entreprise ;

WebInspect de HP/SPI : logiciel de test de la sécurité des applications Web ;

Watchfire® AppScan® d’IBM/Watchfire : suite logicielle de test de la sécurité des applications Web ;

NTOSpider de NT Objectives : outil d’évaluation de la vulnérabilité des applications.

En plus d’intégrer la technologie SecureSphere à ces produits spécifiques, Imperva développera un ensemble d’interfaces ouvertes dans le cadre de son écosystème OpenSphere dédié à la sécurisation des données. Grâce à ces API, les autres éditeurs pourront fusionner les fonctionnalités de production et de surveillance de SecureSphere avec les autres composants du cycle de vie de la sécurité.

La nouvelle solution Imperva permet aux entreprises de :

Créer des politiques de sécurité granulaires au niveau des WAF SecureSphere, reposant sur les données de vulnérabilité produites par l’analyse des applications. Ces politiques peuvent être utilisées pour apporter un correctif virtuel, ciblé sur les applications de production, tandis que les vulnérabilités sous-jacentes sont corrigées dans le code source.

Éliminer la nécessité de ré-analyser une application dans son intégralité à chaque modification, puisque la technologie Dynamic Profiling de SecureSphere détecte et effectue les mises à jour nécessaires sur les outils d’analyse d’application, au fur et à mesure que les applications évoluent. On peut ainsi analyser en continu les applications de production à grande échelle.

Appliquer leurs politiques d’analyse des applications en garantissant que tout nouveau module d’application détecté par SecureSphere a été analysé par les bons outils d’analyse des vulnérabilités.

Clarification PCI DSS

Le Conseil des normes de sécurité PCI a récemment publié un rapport intitulé Information Supplement : Requirement 6.6 Code Reviews and Application Firewalls Clarified selon lequel l’utilisation des outils automatisés d’évaluation et d’analyse des vulnérabilités des applications Web ou le déploiement d’un WAF répondraient aux critères définis par le Requirement 6.6. Le document indique également que l’objectif est d’assurer la protection des applications Web exposées à l’Internet public, et que l’utilisation appropriée d’options multiples offrirait le dispositif de défense le plus efficace. L’annonce faite aujourd’hui par Imperva ouvre la voie vers une solution pré-intégrée, permettant de déployer – de façon complémentaire et intégrée – un dispositif d’analyse des vulnérabilités d’applications et un pare-feu d’application.

– Disponibilité

L’intégration d’Imperva SecureSphere avec Hailstorm de Cenzic, WebInspecy de HP/SPI, AppScan d’IBM/Watchfire et NTOSpider de NT Objectives est prévue pour août 2008.