Les scanners de sites Web sont une technologie essentielle pour contrecarrer les attaques de cybersécurité contre les applications Web. Et ces types d'attaques sont un problème majeur. Selon Forrester Research, les applications web sont un des principaux vecteurs d'incursion.
Pire, ces attaques n'ont cessé de croître au cours des dernières années. Et plus encore que les vulnérabilités logicielles - qui offrent un énorme vecteur d'attaque - ce sont les applications Web qui constituent la voie habituelle d'entrée externe.
Pour vous protéger contre ces attaques, examinons le marché des scanners de sites Web, puis plongeons dans le principal logiciel d'analyse de sites Web.
Comprendre le marché des outils d'analyse de sites Web
Il existe souvent une confusion sur les différents outils de l'arsenal de sécurité informatique. Des termes tels que scanner de site Web, outil d'analyse de vulnérabilité, scanner de vulnérabilité de site Web et scanner d'application Web sont utilisés de manière interchangeable. Mais c'est une erreur.
Les scanners de vulnérabilité et les scanners de vulnérabilité de site Web sont différents. Un scanner de site Web effectue une analyse à distance d'un site Web et fournit souvent un graphique qui peut être inclus pour montrer que le site a été analysé. Les scanners de vulnérabilité, quant à eux, analysent le réseau informatique, terminaux et l'infrastructure à la recherche de vulnérabilités.
Voir également : 5 tendances de la sécurité dans le cloud en 2022
Qu'est-ce que l'analyse des vulnérabilités ?
Les analyseurs de vulnérabilité surveillent en permanence les applications et les réseaux pour identifier les vulnérabilités de sécurité. Ils fonctionnent de différentes manières.
Beaucoup d'entre eux maintiennent une base de données à jour des vulnérabilités connues et effectuent des analyses pour identifier les risques et exploits possibles. Ils sont généralement utilisés par le service informatique pour tester les applications et les réseaux par rapport à des problèmes connus, ainsi que pour aider à identifier de nouvelles vulnérabilités. Ils fournissent également des rapports basés sur leur analyse des vulnérabilités connues et des nouveaux exploits potentiels.
L'analyse des vulnérabilités consiste donc à inspecter les points d'exploitation potentiels pour identifier les failles de sécurité. Des analyses régulières détectent et classent les faiblesses du système. Dans certains cas, l'application propose des prédictions sur l'efficacité des contre-mesures. Les analyses peuvent être effectuées par le service informatique ou via un service géré.
En règle générale, les analyses sont effectuées sur une base de données d'informations sur les failles de sécurité connues dans les services et les ports, ainsi que sur les anomalies dans la construction des paquets, les correctifs manquants et les chemins pouvant exister vers des programmes ou des scripts exploitables.
Certains analyseurs de vulnérabilité détectent les vulnérabilités et suggèrent des solutions possibles. D'autres tentent de remédier et d'atténuer l'ensemble de l'environnement. Certains fournissent un support solide pour les audits et la conformité via des rapports, ou sont orientés vers des normes de sécurité telles que PCI DSS, Sarbanes-Oxley ou HIPAA. D'autres se spécialisent dans la découverte de failles Web ou de problèmes liés aux identifiants d'authentification, à l'authentification par clé et aux coffres d'identifiants.
Voir également : Secure Access Service Edge : grands avantages, grands défis
Que fait un scanner de vulnérabilité de site Web ?
Un scanner de vulnérabilité de site Web (c'est-à-dire un scanner de site Web ou un scanner d'application Web) analyse les pages d'un site Web ou d'une application Web pour détecter les failles de sécurité. Ces outils recherchent des problèmes de sécurité tels que les scripts intersites, la falsification de requêtes intersites (CSRF) ou l'injection SQL. Ces outils automatisent l'analyse des applications Web et les testent pour rechercher les problèmes de sécurité courants. Certains offrent des fonctions avancées pour plonger plus profondément dans les applications afin de rechercher des bogues difficiles à trouver tels que l'injection SQL asynchrone et la falsification de requête côté service aveugle (SSRF).
Les techniques employées par les scanners Web incluent l'analyse des applications, l'exploration des applications, la découverte du contenu par défaut ainsi que du contenu commun, et la détection des vulnérabilités courantes dans les applications Web. L'analyse peut être effectuée activement ou passivement. L'approche passive effectue des vérifications non intrusives qui sont utiles, mais souvent pas assez approfondies. Les analyses actives simulent des attaques sur des sites Web et des applications Web. Certains outils utilisent également des autorisations d'accès pour voir si d'autres vulnérabilités peuvent être découvertes.
Voir également : 5 impacts des réseaux sociaux sur la cybersécurité
Meilleurs outils d'analyse de sites Web
Nous inclurons quelques exemples de chaque type - à la fois des scanners de vulnérabilité et des scanners d'applications Web. Mais nous privilégierons fortement cette dernière catégorie. Voici nos meilleurs choix, sans ordre particulier :
Burb
Le scanner de vulnérabilités Web de Burp Suite utilise les recherches de PortSwigger pour aider les utilisateurs à trouver automatiquement un large éventail de vulnérabilités dans les applications Web. Au cœur de Burp Suite Enterprise Edition et Burp Suite Professional, il est utilisé par plus de 60 000 utilisateurs dans 15 000 organisations.
Différenciateurs clés
Qualys Web Application Scanner
La plate-forme Qualys Cloud, associée à ses agents cloud, ses scanners virtuels et ses capacités d'analyse de réseau, rassemble les éléments clés d'un programme efficace de gestion des vulnérabilités dans une seule application unifiée par des workflows d'orchestration .
Différenciateurs clés
Nessus
Nessus by Tenable est un outil d'évaluation des vulnérabilités largement utilisé. Il est souvent utilisé par des équipes de sécurité expérimentées. Il peut être utilisé conjointement avec des outils de test de pénétration, leur fournissant des zones à cibler et des faiblesses potentielles à exploiter. Il est utilisé dans les évaluations de vulnérabilité par des dizaines de milliers d'organisations. Nessus est né il y a vingt ans en tant qu'outil open source, mais s'est transformé en un outil propriétaire.
Différenciateurs clés
Acunetix Web Vulnerability Scanner
Acunetix par Invicti analyse les applications Web. Son scanner multi-thread peut parcourir rapidement des centaines de milliers de pages et il identifie également les problèmes de configuration de serveur Web courants. C'est particulièrement bon pour scanner WordPress. Acunetix crée automatiquement une liste de tous les sites Web, applications et API, et la tient à jour.
Différenciateurs clés
Netsparker
Netsparker est une solution de gestion des vulnérabilités Web qui met l'accent sur l'évolutivité, l'automatisation et l'intégration. La suite est construite autour du scanner de vulnérabilité Web et peut être intégrée à des outils tiers. Les opérateurs n'ont pas besoin de connaître le code source.
Différenciateurs clés
Syxsense
Syxsense est un scanner de vulnérabilité réseau. Ce n'est pas un scanner d'applications Web, mais il peut analyser les serveurs Web pour s'assurer qu'ils sont corrigés et effectue des vérifications de base comme s'assurer que le site dispose d'un certificat SSL valide. Syxsense ajoute également la gestion des correctifs et la gestion informatique de base dans le cadre de sa suite.
Différenciateurs clés
Intruder
Intruder est un scanner de vulnérabilité basé sur le cloud qui se concentre sur l'analyse du périmètre. Il effectue plus de 10 000 contrôles de sécurité et est fort pour découvrir de nouvelles vulnérabilités. Il exécute des analyses des menaces émergentes pour les vulnérabilités nouvellement découvertes. Les résultats sont envoyés par e-mail au service informatique et disponibles sur le tableau de bord. Il utilise un moteur d'analyse de niveau entreprise, le même que celui utilisé par les grandes entreprises et les gouvernements.
Différenciateurs clés
HCL AppScan
AppScan a plusieurs versions pour l'entreprise, le cloud, et plus encore. AppScan on Cloud, par exemple, est une solution de sécurité des applications basée sur le cloud qui fournit AppScan en tant que service. AppScan Enterprise permet au service informatique d'effectuer des analyses d'applications à grande échelle, d'atténuer les vulnérabilités et d'assurer la conformité réglementaire.
Différenciateurs clés
Voir également : Prédictions technologiques pour 2022 : cloud, données, cybersécurité, IA, etc.
