Les scans à la recherche de failles et les tests d'intrusion constituent des composantes essentielles des analyses de sécurité des applications. Pour cela, les organisations doivent scanner leurs sites web privés et publics et les applications et terminaux essentiels à l'aide d'outils d'analyse afin de protéger les informations financières, les données personnelles identifiables ainsi que les données exclusives et confidentielles. L'objectif de ces tests est d'identifier les failles, telles que les problèmes de chiffrement, les mauvaises configurations, les correctifs manquants et les failles de l'application, par exemple face à l'injection SQL, au cross-site scripting, et aux 10 principales failles selon l'OWASP, susceptibles de faire courir un risque aux données privées.
Ces moteurs d'analyse suivent une liste d'attaques fréquentes connues, comme celles définies par l'OWASP et d'autres organisations. Les attaques définies par l'OWASP (comme le top 10 de l'OWASP) utilisent différentes techniques comme l'injection SQL, le cross-site scripting (XSS), les attaques de type homme du milieu (HDM) et l'injection de logiciels malveillants pour pirater des applications et sites web vulnérables afin d'en exfiltrer les données, de piéger les utilisateurs ou les systèmes pour qu'ils fournissent des informations sensibles ou de perturber le bon fonctionnement de l'application.
Le résultat des outils d'analyse fournit une liste des URL vulnérables qui peuvent ensuite bénéficier de correctifs lors du développement ou être importés dans des dispositifs de WAF ou de WAAP pour les protéger contre les tentatives de piratage informatique. Le pare-feu d'applications web (WAF) de Radware a été le premier à proposer une solution d'application de correctifs de sécurité en temps réel pour les applications web dans les environnements de déploiement d'applications en continu via une intégration étroite avec des solutions de tests dynamiques de sécurité des applications (DAST). L'intégration entre les solutions de DAST et le WAF/WAAP de Radware permet l'automatisation et l'accélération de l'application de correctifs virtuels aux applications web pour remédier à des failles connues.
Les outils de recherche des failles sont coûteux et la réalisation de tests adaptés exige une expertise en sécurité. Dans le cadre de son WAF, Radware inclut un moteur d'analyse pour générer automatiquement une politique de sécurité permettant de sécuriser les applications web. Le module de génération automatique de politiques est inclus dans la solution de Radware et réalisera automatiquement les actions suivantes : utiliser le filtre de sécurité requis, créer des règles pour le filtre de sécurité et activer les filtres de sécurité. Les entreprises peuvent utiliser la génération automatique intégrée de politiques, l'assistance pour les moteurs d'analyse des failles et les outils DAST, la découverte d'API et les modèles de sécurité positive et négative du WAF de Radwware pour sécuriser les API et applications.
Fonctionnalités des analyseurs de failles des applications et comparaisons
| |
Radware |
WAF dans un CDN |
WAF natif dans le cloud mutualisé |
WAAP sous forme de logiciel |
| Modèle de sécurité négative et intégration aux outils d'analyse |
Oui |
Oui |
Oui |
Oui |
| Intégration avec les solutions DAST |
Oui |
Non |
Non |
Oui |
| Modèle de sécurité positive |
Oui |
Non |
Non |
Oui |
| Recherche des failles et génération automatique de politiques |
Oui |
Non |
Non |
Non |
| Découverte des API |
Oui |
Non |
Non |
Peut-être |
Ressources supplémentaires