Les attaques de sites Web peuvent passer inaperçues pendant des mois car les pirates informatiques volent des informations confidentielles. Les pertes financières et les atteintes à la réputation résultant d'une atteinte potentielle incitent les entreprises à protéger leurs applications Web. Ilia Kolochenko, PDG de High-Tech Bridge et architecte en chef d'ImmuniWeb, explique comment protéger votre site Web en 2015.

  • Comment le paysage des menaces à la sécurité se prépare pour 2015

TechRadar Pro: vers quels outils les organisations se tournent-elles pour protéger leurs sites Web??

Ilia Kolochenko: Lorsque les failles de sécurité envahissent les nouvelles en racontant des histoires de données client volées et d'échecs de sites Web, les entreprises se tournent généralement vers des scanners automatisés. Et ce recours excessif aux scanners laisse les organisations dans une position vulnérable. Malheureusement, il existe encore une idée fausse commune selon laquelle l'analyse de vulnérabilité de site Web entièrement automatisée produit les mêmes résultats que les tests de pénétration d'applications Web manuels..

TRP: Pourquoi avons-nous toujours besoin de tests de pénétration manuels??

IK: Le besoin de compétences humaines a été récemment démontré par une nouvelle analyse majeure (rapportée par Ars Technica) menée par les universités de KU Leuven (Belgique) et Stony Brook (New York)..

Les chercheurs ont testé des sites Web "protégés" à l'aide de divers sceaux de confiance fournis par des fournisseurs de sécurité fournissant des services automatisés d'analyse de vulnérabilités et de détection de programmes malveillants, parmi lesquels des sociétés réputées telles que Symantec, McAfee, Trust-Guard et Qualys..

La recherche a montré "que les fournisseurs de phoques ont de très mauvaises performances en ce qui concerne la détection des vulnérabilités sur les sites Web qu'ils certifient". C’est une faiblesse inhérente à presque toutes les solutions entièrement automatisées - elles ne peuvent aller jusqu’à ce que leur production doive être analysée par un pentester qualifié (testeur de pénétration)..

TRP: Dites-nous comment fonctionne l'analyse de vulnérabilité?

IK: L'analyse des vulnérabilités peut être très économique, voire gratuite, tandis que les tests d'intrusion peuvent être considérés comme assez coûteux et longs à planifier et à exécuter. Cependant, les tests d'intrusion apportent une valeur ajoutée significative par rapport à tous les types de programmes malveillants ou d'analyse de vulnérabilité actuellement sur le marché de la sécurité Web..

En fait, aujourd'hui, presque tout le monde peut effectuer un balayage des vulnérabilités: il vous suffit de télécharger l'un des nombreux scanners de vulnérabilités - certains très performants - et de les exécuter sur un site Web. Ils généreront un rapport automatique fournissant de nombreuses vulnérabilités et faiblesses réelles et potentielles - et probablement aussi un certain nombre de faux positifs..

Les faux positifs prennent beaucoup de temps - vous devez vérifier chaque problème détecté par le scanner. Les résultats faussement négatifs sont bien plus graves: les vulnérabilités existantes omises par les solutions automatisées, ce qui rend les systèmes vulnérables et donne aux administrateurs de sites Web un faux sentiment de sécurité. Certaines solutions automatisées peuvent attribuer un risque moyen à 403 ou 500 pages d'erreur renvoyées par le serveur Web (il ne s'agit pas de vulnérabilités, mais simplement de pages d'erreur)..

Enfin, les administrateurs de sites Web, soumis à de lourdes charges de travail, commencent à ignorer toutes les vulnérabilités présentant un risque moyen dans les rapports d'analyse quotidiens. En conséquence, ils manquent des informations importantes sur les vulnérabilités réelles qui méritent leur attention.

TRP: Quelles entreprises devraient utiliser des scanners de vulnérabilité?

IK: Les scanners de sécurité sont probablement un outil indispensable pour les grandes entreprises qui effectuent certains tests de sécurité en interne, s’appuyant sur des professionnels de la sécurité internes capables de vérifier et de compléter les résultats d’un scan automatisé. L'analyse automatisée des vulnérabilités peut également s'avérer très utile pour tenir les équipes internes au courant de l'état général de leurs applications Web..

Cependant, les solutions automatisées et les scanners de sécurité ne sont pas en mesure de remplacer un test d'intrusion. Ils ne conviennent pas non plus aux PME, ni aux projets dans lesquels les entreprises ont besoin de tests de sécurité rapides et de la plus haute qualité..

TRP: Quels sont les avantages des tests de pénétration manuels?

IK: Le véritable pentest commence à partir de la fin de l'analyse de vulnérabilité. Un pentester prendra probablement les rapports de plusieurs analyses différentes et utilisera ses compétences et son expérience personnelles pour éliminer les faux positifs et identifier les vulnérabilités manquées..

En particulier, il est susceptible de reconnaître les faiblesses de la logique métier, que les scanners ne peuvent pas détecter efficacement, et de voir comment, sinon, des failles techniques mineures peuvent être réunies pour créer une violation majeure. Le site Web d'Alibaba est un exemple récent de faille dans la logique applicative, où un minuscule bug a exposé les informations les plus sensibles de millions d'utilisateurs. Un autre exemple récent est une vulnérabilité similaire sur le site Web de Delta Airlines, où la manipulation d’URL permettait l’accès à la carte d’embarquement de quiconque..

La découverte par un scanner d'une vulnérabilité est un autre exemple de la nécessité vitale d'une expertise approfondie en matière d'informatique et de sécurité. Cette vulnérabilité est probablement déjà connue de l’équipe de sécurité et reste non corrigée pour une "bonne raison" - dans certains cas, un correctif pour la vulnérabilité peut menacer les fonctionnalités d’un processus métier critique. C'est un cas fréquent dans les grandes entreprises, où de nombreux produits critiques sont développés en interne ou en sous-traitance et souffrent de divers problèmes de compatibilité qui empêchent les systèmes de rester à jour..

Dans ce cas, un scanner générera probablement des informations génériques sur une technique de correction. Un pentester qualifié, cependant, est capable de comprendre les besoins et les processus du client et suggérera probablement une solution appropriée qui n'aura pas d'incidence sur la continuité de l'activité et, si elle ne résout pas la vulnérabilité, empêchera au moins son exploitation (en ajoutant des règles au pare-feu d'applications Web, par exemple).

TRP: Quelle est la précision des scanners de vulnérabilité?

IK: D'après notre expérience, la plupart des scanneurs ne détectent probablement que 40 à 60% des vulnérabilités des applications Web. Ce n’est pas un problème avec la technologie de numérisation: un scanneur pourrait probablement être développé pour une application, une plate-forme ou un cadre particulier capable de détecter 99% des vulnérabilités spécifiques à l’application..

Cependant, compte tenu de la grande variété de technologies Web existantes, il est impossible de développer un scanner universel capable de détecter efficacement les vulnérabilités de tous les types d’applications Web. L'expertise humaine est nécessaire ici.

TRP: Quelles sont les limites des tests de pénétration sur le Web?

IK: Les tests d'intrusion sur le Web ont aussi leurs limites. Par exemple, ils ne peuvent pas empêcher un PC administrateur de site Web d'être piraté, dans le but de voler des informations d'identification FTP ou SSH afin d'infecter ultérieurement le site Web avec un logiciel malveillant. Cependant, les logiciels malveillants peuvent être identifiés très rapidement avec l'analyse quotidienne des logiciels malveillants..

L'analyse des vulnérabilités doit être utilisée pour la surveillance continue de la sécurité et de l'intégrité, tandis que les tests d'intrusion doivent être utilisés pour identifier correctement toutes les vulnérabilités et faiblesses existantes et pour élaborer des correctifs fiables. C’est là que la surveillance quotidienne continue, associée à des tests de pénétration trimestriels, est le moyen le plus efficace de maintenir un site Web sécurisé..

TRP: Où voyez-vous l'avenir de l'évaluation de la sécurité Web?

IK: En tant que solution au fossé entre les tests de sécurité automatisés et manuels, High-Tech Bridge a lancé ImmuniWeb SaaS cette année - une approche hybride des tests de sécurité Web..

ImmuniWeb combine des tests de sécurité Web manuels et automatisés adaptés à tous les types d’entreprise, quels que soient leur taille, leur localisation géographique ou leurs compétences internes. Les tests automatisés à grande vitesse et à grande échelle, associés à l'expertise et à l'expérience humaines, détectent avec précision les failles de sécurité les plus complexes omises par les scanners et autres solutions automatisées..

De plus, les auditeurs ImmuniWeb fournissent à nos clients des solutions personnalisées adaptées à leurs besoins métier et techniques..