Le présent et l'avenir de la protection des application

Dans le monde actuel centré sur les applications, il existe véritablement une application pour tout. Les organisations proposent des applications avec accès aux données aux employés et aux consommateurs pour accroître la productivité, répondre aux demandes de l'entreprise et, en fin de compte, obtenir un avantage compétitif. Mais à mesure que les organisations fournissent de plus en plus de données sensibles via des applications, elles introduisent également des risques toujours plus importants. C’est parce que les utilisateurs d’aujourd’hui sont partout, souvent en dehors du réseau d’entreprise, et les applications sur lesquelles ils s’appuient peuvent se trouver n’importe où, des centres de données privés au cloud public. Le résultat est moins de visibilité et de contrôle pour l’organisation. Il n’est pas surprenant que les cybercriminels profitent de cette exposition en ciblant ces applications, qui existent en grande partie en dehors de la sphère des protections de sécurité traditionnelles telles que les pare-feu, les logiciels antivirus et le cryptage TLS/SSL.

Qu'il s'agisse d'une attaque par déni de service volumétrique (DoS), d'un logiciel malveillant basé sur un navigateur ou d'une menace persistante avancée, les attaques application actuelles sont en réalité des stratagèmes pour obtenir ou compromettre les données de l'entreprise. Alors que de plus en plus de données sont cryptées, la majorité des outils de sécurité actuels fonctionnent à l’aveugle, incapables de décrypter ces données pour garantir qu’elles ne sont pas malveillantes.

Traditionnellement, l’approche de la sécurité des application s’est concentrée sur le cycle de vie du développement logiciel (SDLC), en essayant de garantir que les développeurs suivent les meilleures pratiques pour un codage sécurisé. Bien que le code sécurisé reste un élément essentiel du puzzle global de la sécurité, il ne constitue pas l’ensemble du tableau. L’ancien périmètre de sécurité continue de se dissoudre à mesure que de plus en plus de points de terminaison et de réseaux se situent en dehors des empreintes des réseaux d’entreprise conventionnels, tandis que les risques pour les applications et les données d’entreprise sensibles continuent d’évoluer.

Les mesures de sécurité doivent être renforcées pour garantir que les applications sont sécurisées partout. La grande majorité des attaques actuelles ciblent le niveau application , mais les entreprises ne réalisent pas les investissements de sécurité correspondants à ce niveau. Il est temps pour les organisations de se réconcilier avec une nouvelle réalité : La sécurité doit être davantage ciblée au niveau de l’application.

En considérant la sécurité des application sous cet angle basé sur les risques, les organisations peuvent se concentrer sur les défaillances des composants et contribuer à fournir la sécurité la plus robuste pour les données qui constituent la cible ultime de la plupart des attaques. En analysant tous les composants qui composent une application, les organisations peuvent développer une stratégie qui offre la sécurité la plus forte et la plus appropriée à l’application dans son ensemble. Parce que compromettre un composant d’une application ou le réseau qui la diffuse (qu’il s’agisse d’une vulnérabilité de code, de la disponibilité du réseau ou du DNS) met en danger l’ensemble de application, ainsi que les données qu’elle héberge.

Il est essentiel pour les organisations de déployer l’ensemble de contrôles de sécurité des application le plus solide possible pour réduire le risque que des données sensibles soient compromises par une attaque au niveau des applications. Les éléments clés d’une posture de sécurité proactive et de défense en profondeur pour le périmètre de application comprennent les tests de sécurité des application , les services de pare-feu, les contrôles d’accès et une protection spécifique contre divers types de menaces.

La sécurité des logiciels reste la pierre angulaire d’une stratégie globale de protection des application . Les organisations doivent s’assurer que les nouveaux sites Web et logiciels sont codés de manière sécurisée, mais elles doivent également remédier aux innombrables vulnérabilités déjà présentes dans les sites Web existants qui ont été créés sans cycle de vie de développement logiciel sécurisé. Il est important de se rappeler que la recherche et la correction des vulnérabilités ne sont pas un exercice académique ; il s’agit avant tout d’empêcher un attaquant sensible d’accéder aux systèmes d’entreprise et aux données que ces systèmes protègent. Mais sans une image claire des adversaires et de leurs tactiques, les professionnels de la sécurité auront du mal à développer des stratégies efficaces pour les vaincre. À l’avenir, il sera impératif que davantage de personnes travaillant dans la communauté de la sécurité comprennent mieux les logiciels et la sécurité des logiciels.

Les scanners de vulnérabilité aident à identifier et à atténuer les problèmes logiciels, qu'ils soient détectés avant ou après la mise en ligne de nouveaux sites Web et applications Web. Les organisations peuvent toutefois obtenir la meilleure protection en intégrant un scanner de vulnérabilité robuste à un pare-feu application Web proxy complet.

Aujourd’hui, un pare-feu application Web robuste et agile n’est pas un luxe, c’est une nécessité. La croissance des applications Web hébergées dans le cloud s’est accompagnée d’attaques de sécurité de plus en plus sophistiquées et de risques qui menacent les données de l’entreprise.

Un pare-feu application Web hybride peut aider les entreprises à se défendre contre les 10 principales menaces de l'OWASP, les vulnérabilités applicatives et les attaques zero-day, quel que soit l'emplacement des applications . De solides défenses contre les attaques par déni de service distribué (DDoS) de couche 7, des techniques de détection et d'atténuation, des correctifs virtuels et une visibilité granulaire des attaques peuvent contrecarrer les menaces les plus sophistiquées avant qu'elles n'atteignent les serveurs réseau. De plus, avoir la capacité de détecter et de bloquer les attaquants avant qu’ils n’accèdent à un centre de données d’entreprise offre un avantage majeur. Un pare-feu application Web puissant capable d’arrêter l’activité malveillante au tout début d’une attaque potentielle permet aux organisations de réduire considérablement les risques et d’augmenter l’efficacité du centre de données en éliminant les ressources consacrées au traitement du trafic indésirable.

Les entreprises doivent rechercher un pare-feu application Web qui :

• Fournit une défense proactive contre les réseaux d’attaque automatisés.
• S'intègre aux principaux scanners de tests de sécurité application dynamiques (DAST) pour une correction immédiate des vulnérabilités.
• Identifie les événements suspects en corrélant les activités malveillantes aux violations.
• Fournit des rapports faciles à lire pour aider à rationaliser la conformité aux normes réglementaires clés telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), HIPAA et Sarbanes-Oxley.

Aujourd’hui, SSL est partout. Les analystes prédisent que le trafic crypté atteindra près de 64 % de l’ensemble du trafic en ligne nord-américain en 2016, contre seulement 29 % en 2015.¹ Les organisations s’efforcent de crypter la majorité du trafic, y compris tout, des courriers électroniques et des médias sociaux aux vidéos en streaming. Le niveau de sécurité fourni par SSL est attrayant, mais en même temps, il est devenu un vecteur de vulnérabilité car les attaquants utilisent SSL comme moyen de cacher les logiciels malveillants aux dispositifs de sécurité qui ne peuvent pas voir le trafic crypté.

Les solutions de sécurité d’entreprise doivent gagner en visibilité sur ce trafic crypté pour garantir qu’il n’introduit pas de logiciels malveillants dans le réseau. Une façon de lutter contre ces menaces cryptées est de déployer une solution SSL « air gap », qui consiste à placer un contrôleur de distribution application (ADC) de chaque côté de la chaîne de visibilité. L'ADC le plus proche des utilisateurs décrypte le trafic sortant et envoie les communications décryptées via les dispositifs de sécurité. Ces appareils, qui peuvent désormais voir le contenu, appliquent des politiques et des contrôles, détectant et neutralisant les logiciels malveillants. À l’autre extrémité de la chaîne, un autre ADC recrypte le trafic lorsqu’il quitte le centre de données. Cette solution offre la flexibilité de maintenir les dispositifs de sécurité en ligne tout en garantissant qu'ils peuvent faire le travail pour lequel ils ont été conçus.

Aujourd’hui, la plupart des applications sont basées sur Internet, donc une attaque DDoS volumétrique peut paralyser, voire détruire, une application. Les attaques DDoS gagnent en ampleur et en complexité, menaçant de submerger les ressources internes des entreprises du monde entier. Ces attaques combinent un engorgement du trafic à haut volume avec des techniques furtives ciblant les applications, le tout dans le but de perturber le service pour les utilisateurs légitimes.

Les organisations doivent s’assurer qu’elles disposent d’une stratégie de protection DDoS robuste pour garantir la disponibilité de leurs applications critiques. Envisagez des solutions offrant une protection complète et multicouche de niveau 3 à niveau 7 et capables d’arrêter les attaques DDoS dans le cloud avant qu’elles n’atteignent le réseau et le centre de données.

Bien qu'elle ne fasse pas partie de la vision traditionnelle du codage sécurisé de la sécurité des application , la stratégie DNS d'une entreprise joue un rôle énorme dans la sécurité et la disponibilité de ses applications. Le DNS est l’épine dorsale d’Internet, ainsi que l’un des points les plus vulnérables du réseau d’une organisation. Les organisations doivent se protéger contre une variété toujours croissante d’attaques DNS, notamment les inondations de requêtes d’amplification DNS, les attaques par dictionnaire et l’empoisonnement DNS.

Une entreprise peut garantir que ses clients (et ses employés) peuvent accéder aux services Web, application et de base de données critiques chaque fois qu’ils en ont besoin grâce à une solution qui gère intelligemment le trafic mondial, atténue les menaces complexes en bloquant l’accès aux domaines IP malveillants et s’intègre de manière transparente aux fournisseurs tiers pour la mise en œuvre, la gestion centralisée et la gestion sécurisée des clés DNSSEC. Certaines solutions offrent un DNS hautes performances, capable d’évoluer rapidement pour mieux absorber les attaques DDoS.

Il y a cinquante ans, si vous vouliez braquer une banque, vous deviez vous rendre à la banque. Vous pouvez désormais braquer une banque à 5 000 miles de distance. La nature mondiale d’Internet signifie que tout est à égale distance de l’adversaire, et les institutions financières sont parmi les cibles les plus prisées sur Internet. Pour lutter efficacement contre les dangers de la fraude, les organisations qui offrent des services financiers sur Internet doivent défendre leurs activités avec une combinaison de technologies de sécurité.

Envisagez une solution qui aide à protéger contre une gamme complète de vecteurs de menace de fraude, empêchant les attaquants d’usurper, de désactiver ou de contourner les contrôles de sécurité. Les organisations peuvent ainsi réduire le risque de perte financière et de propriété intellectuelle et se sentir en sécurité grâce à une protection proactive contre les menaces Web émergentes et la fraude.

Certaines des failles de sécurité les plus récentes et les plus dommageables sont dues à des informations d’identification d’utilisateur et d’administrateur compromises. Ces violations auraient pu être déjouées en authentifiant et en autorisant les bonnes personnes à accéder aux bonnes informations et en garantissant une connectivité sécurisée aux applications grâce à des technologies d’authentification unique et à plusieurs facteurs. De plus, les contrôles d’identité et d’accès centralisés par l’entreprise peuvent fournir une authentification sécurisée entre le réseau de l’entreprise et les applications basées dans le cloud ou en tant que logiciel en tant que service (SaaS).

La protection des application est très complexe et, avec la croissance exponentielle de l’Internet des objets et des applications qui l’accompagnent, les problèmes ne font que s’aggraver. En 2010, il y avait 200 millions d’applications Web ; aujourd’hui, on en compte près d’un milliard.² En 2020, ce chiffre pourrait facilement atteindre cinq milliards. Toutes ces applications sont des vecteurs de vulnérabilité et nombre d’entre elles contiennent des données critiques qui pourraient être la cible d’attaquants.

En améliorant les portefeuilles de sécurité existants avec des solutions et des services axés sur le niveau application , les organisations peuvent mieux protéger les applications qui peuvent exposer leurs données sensibles. Il est essentiel de garantir la protection des applications , quel que soit l’endroit où elles se trouvent, et les enjeux sont élevés.

Il est temps d’élargir la vision de la sécurité des application afin que les organisations soient mieux placées pour sécuriser efficacement tous les composants qui composent leurs applications critiques, protéger leurs données et protéger leurs activités.

¹ Sandvine, Coup de projecteur sur les phénomènes mondiaux d'Internet : Cryptage du trafic Internet, 2015 .

² Statistiques en direct sur Internet