Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Webinar ACUNETIX
21 Avril 2020
Julien CAYSSOL
www.certilience.fr - 04 28 29 72 50 2
Sommaire
1- Présentation de la société Acunetix
2 - Présentation de la solution Acunetix
3 - Présentation du Logiciel
4 - Questions réponses
www.certilience.fr - 04 28 29 72 50 3
Contexte de sécurité
• 65 vols de données par seconde
• 201 jours pour découvrir une cyberattaque
• Une entreprise subit 29 cyberattaques par an
www.certilience.fr - 04 28 29 72 50 4
Pourquoi la sécurité des applications web?
• Les pirates se concentrent sur les applications web
• Les applications Web sont accessibles au public 24 h sur 24 et 7 jours / 7,
• Les applications Web sont souvent moins testées.
• Le Firewall protège votre réseau mais pas vos sites Web.
• Le Certificat SSL ne protège pas votre serveur maisl’Utilisateur
www.certilience.fr - 04 28 29 72 50 5
Pourquoi attaquent-il les sites?
• Pour accéder à des données sensibles (cartes de credit, des emails, des mots de passe, …)
• Pour utiliser la machine : botnets, minage
• Pour diffuser des contenus illégaux
• Pour améliorer artificiellement votre classement, ce qui peut générer des sanctions de la part des moteurs de recherches
➔ Il est donc important de mesurer l’exposition des sites régulièrement.
www.certilience.fr - 04 28 29 72 50 6
Présentationde la sociétéAcunetix
Made by Alan B. Consultant Avant-vente 6
www.certilience.fr - 04 28 29 72 50 7
L’histoire d’Acunetix
• Fondé en 2004
• Pionnier en Application de Sécurité Web
• Technologie Propriétaire AcuSensor
• Membre de l’OWASP
• A remporté de nombreux Prix Informatiques
• Titulaire de licence de brevets
www.certilience.fr - 04 28 29 72 50 8
8
Mad
e b
y A
lan
B. C
on
sult
ant
Ava
nt-
ven
te
www.certilience.fr - 04 28 29 72 50 9
Présentationde la Solution Acunetix
9
www.certilience.fr - 04 28 29 72 50 10
La solution Acunetix
• Acunetix est le leader technologique des tests Automatisés de sécurité des applications Web.
• Il explore et analyse automatiquement les sites Web et les applications Web standard et personnalisées pour plus de 6 500 vulnérabilités Web afin d'aider les entreprises à renforcer leur sécurité Web.
• 98% des vulnerabilités trouvées grace aux technologies Acunetix
• AcuSensor : module intégré côté serveur. Inspecte le code source d’un site web. Meilleure technologie actuelle en matière de détection
www.certilience.fr - 04 28 29 72 50 11
Architecture type de scans
Réseau Entreprise
Scan sur site ou en mode Cloud
Zone 1
www.certilience.fr - 04 28 29 72 50 12
Une TARGET?
• Une Target est un site Web, une application Web, un serveur ou un périphérique réseau que vous souhaitez analyser pour détecter les vulnérabilités de sécurité en utilisant Acunetix.
• Un nom de domaine entièrement qualifié
• Un site Web, une application Web, un serveur ou un périphérique réseau que vous souhaitez analyser pour détecter les vulnérabilités de sécurité
• Différentes URL dans le même nombre de domaines que 1 cible. Par ex. www.domain.com et www.domain.com/blog
• Les sous-domaines sont des cibles différentes. Par ex. www.domain.com et www2.domain.com consomment 2 cibles
www.certilience.fr - 04 28 29 72 50 13
Les Fonctionnalités
Detect 6,500+ web vulnerabilities
Acunetix DeepScan Crawler
Scan for 50,000+ network vulnerabilities
Acunetix AcuSensor Compliance Reports
Acunetix AcuMonitor
Assign Target Management to Users
Proof-of-ExploitAcunetix SmartScan Incremental Scanning
Malware Detection
www.certilience.fr - 04 28 29 72 50 14
Les différents tests :
DAST SAST IAST
Interagit avec les applicatifs web
on front
Interagit avec le code source Analyse comment le code source
est exécuté Grâce à un fichier
installé dans le code source, il va
testé .NET, le PHP et le Java
Acunetix Deepscan - Acunetix Acusensor
Qualys, Rapid 7, Netsparker Analyse uniquement du code, hors
contexte d’exécution
-
Made by Alan B. Consultant Avant-vente 14
www.certilience.fr - 04 28 29 72 50 15
3 Technologies différenciantes
Deepscan
• Peut crawler et scanner des sites web complexes et identifier toustypes de vulnérabilités(même dans CMS Joomla, Wordpress…)
AcuSensor
• Module intégré côtéserveur. Inspecte le code source d’un site web. Meilleuretechnologieactuelle enmatière de détection
AcuMonitor
• Service intermédiairede détectiondes scripts malicieux (out-of-band, XSS)
www.certilience.fr - 04 28 29 72 50 16
« Login Sequence Recorder »
• Le « login sequence recorder » consiste à enregistrer un log afin d’automatiser une connexion pour permettre le scan des Urls.
Permet de scanner les urls qui se trouvent derrières une authentification
www.certilience.fr - 04 28 29 72 50 17
Les autres fonctions
• Possibilité de mettre en pause en scan,
• Définir des horaires d’exclusions
• Exclure des Urls
www.certilience.fr - 04 28 29 72 50 18
Génération de reporting très élaborés
• Pour les développeurs et les responsables de la conformité
• Format PDF, XML ou synchronise API avec les logiciels d’issue tracker (Github, Gitlab, …)
• Rapports juridiques respectant la conformité
– PCI
– HIPAA
– Sarbanes Oxley
• Normes de Sécurité
– OWASP top 10
– CWE / Sans top 25
– DISA
– NIST
– Web Application Security Consortium
• Outil de suivi des vulnérabilités
www.certilience.fr - 04 28 29 72 50 19
Génération de reporting très élaborés
• Virtual patching
– Export des résultats pour un import dans Imperva/F5/Fortinet
• Gestion des profils
– Définition des équipes
– Définition des permissions
– Définition des visions
www.certilience.fr - 04 28 29 72 50 20Made by Alan B. Consultant Avant-vente
Principe de fonctionnement
www.certilience.fr - 04 28 29 72 50 21
Démonstration
www.certilience.fr - 04 28 29 72 50 22
accueil
www.certilience.fr - 04 28 29 72 50 23
Définition Target
www.certilience.fr - 04 28 29 72 50 24
Définition Target
www.certilience.fr - 04 28 29 72 50 25
Définition Type de scan
Scan Type : Complet ou
focus sur un type de
vulnérabilité
Report : OWASP, rapide,
comparaison
Schedule : Date du scan et
prochain scan
www.certilience.fr - 04 28 29 72 50 26
Résultats
www.certilience.fr - 04 28 29 72 50 27
Résultats – Rapport complet
Intégration possible
avec un outil interne.
Issue tracker ou par
www.certilience.fr - 04 28 29 72 50 28
Résultats – Rapport complet
www.certilience.fr - 04 28 29 72 50 29
L’offred’Acunetix
29
www.certilience.fr - 04 28 29 72 50 30
Vue d’ensemble
Acunetix v13 Standard
Acunetix v13 Premium
Acunetix 360
www.certilience.fr - 04 28 29 72 50 31
www.certilience.fr - 04 28 29 72 50 32
www.certilience.fr - 04 28 29 72 50 33
Overview
Standard Premium 360
Detect 6500+ web vulnerabilities ✔ ✔ ✔
Acunetix AcuSensor (IAST) ✔ ✔
Acunetix AcuMonitor ✔ ✔ ✔
Scan for 50,000+ network vulnerabilities ✔
Multiple Scan Engines ✔ ✔
Web Application Discovery ✔
Customizable Workflows ✔
Multi-user & User Roles ✔ ✔
Single Sign On ✔
Compliance Reports ✔ ✔
CI/CD Integration ✔
www.certilience.fr - 04 28 29 72 50 34
Les plus de la solution :
• Scan en profondeur de vos sites
• Possibilité de dérouler un scan régulier de vos site ( Pas de licence au scan)
• Possibilité d’automatiser le traitement des vulnérabilités dans un outil de tickets
• Possibilité d’intégrer les vulnérabilités identifiées dans un Firewall Web
• Possibilité de faire un scan différentiel
• Scalabilité de l’infrastructure
• Il est possible de dérouler un POC
www.certilience.fr - 04 28 29 72 50 35
Des questions ?