Réduire

Notes de lecture et autres


2 décembre 2020

Pour 2021 – 4 outils cyber

En septembre 2020, Gartner a publié la liste des « 9 tendances en matière de sécurité et de risque pour 2020 », l’accent est mis sur la complexité et la taille croissantes du paysage des menaces.

Le manque de visibilité des surfaces d’attaque externes a entraîné une augmentation spectaculaire des compromisions et des fuites de données personnelles en 2020, compromettant l’IIP (Personal Identifiable Information) et d’autres données sensibles de millions de personnes.Ces incidents découlent d’intrusions sophistiquées d’acteurs malveillants d’État-nation, de groupes de pirates APT (ATP signifie Advanced Persistent Threat), d’erreurs humaines et de d’erreur de configurations généralisées exposant sur Internet le stockage ou les bases dedonnées cloud avec des données confidentielles.

Les analystes du Gartner recommandent d’automatiser les tâches et les processus de sécurité laborieux, dans un contexte de pénurie persistante de compétences en cybersécurité et de s’attaquer rapidement aux risques émergents liés à la sécurité des Clouds et des conteneurs. Gartner recommande d’être très vigilant aux exigences en matière de protection de la vie privée et de réglementation afin d’éviter des amendes sévères et d’autres sanctions.

La mise en œuvre d’un modèle « Zéro Trust » (confiance zéro) au sein de tout type d’organisation, quelle que soit sa taille est le conseil avisé pour 2021. Alors que la pandémie a un impact dévastateur sur de nombreuses organisations et entreprises, la plupart d’entres ont tenté ou déplacé chaotiquement leurs processus d’affaires vers l’espace numérique moins affecté.

Houx l'hiver à Paris
Paris à automne.

Toutefois, les budgets consacrés à la cybersécurité ont été malmenés compte tenu de l’effet collatéral du ralentissement économique global. La diminution des budgets a sans surprise exacerbé la transformation numérique en mode stress au mépris flagrant des composants de sécurité et de confidentialité qu’implique cette sur exposition. Les dépenses de cybersécurité vont probablement rebondir voire augmenter à nouveau en 2021, pour soulager les DSI blasés et à leurs équipes de sécurité informatique à bout. En attendant, voici quelques outils de sécurité vous pouvez vous familiariser qui, il me semble, pourraient faire une différence à tout les programmes de cybersécurité et leur planification budgétaire 2021.

Fin novembre 2020, la société de sécurité ImmuniWeb a annoncé une mise à jour majeure de son édition communautaire libre. La solution fournit 4 tests de sécurité gratuits qui couvrent les priorités en matière de sécurité et de confidentialité mentionnées par Gartner et offrent également de solides capacités pour surveiller les incidents de sécurité et les cybermenaces externes ciblant votre entreprise.

ImmuniWeb fait parti des fournisseurs de cybersécurité les plus innovants de la Conférence RSA 2020. Depuis lors, les progrès sont impressionnants dans de nombreuses directions et domaines de sécurité de l’information. Voici un tour d’horizon d’ImmuniWeb Community Edition et vous pouvez l’essayer maintenant sans hésiter.

Test de sécurité et de conformité du site Web

Pour certains une analyse de surface, en staging exposé, ce test de sécurité du site web peut précéder un scanner de vulnérabilité web commercial. Le test gratuit est non intrusif et sans danger pour la production – vous ne planterez pas accidentellement votre ancien serveur Web ou votre application Web à cause d’un débordement ou de l’exploitation d’un Bufferflow ou d’un RCE (n an RCE attack, hackers intentionally exploit a remote code execution vulnerability to run malware. RCE can have disastrous ramifications for an MSP’s network—by prompting the targeted device to perform code execution, a hacker can run their own programming in its place.).

ImmuniWeb et son module « Software Composition Analysis (SCA) » dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle. Le module SCA comprendrait plus de 300 framework CMS et Web, 160 000 plugins et extensions, et 8 900 bibliothèques JavaScript et sa base de données intégrée sur les vulnérabilités couvre plus de 12 000 vulnérabilités CVE :

 ImmuniWeb que son  module "Software Composition Analysis (SCA)"  dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle.

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS :

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS
In one test, you simultaneously get an inclusive picture on how to harden your website security, improve web server resilience, and enhance applicable privacy and compliance requirements.

Test d’exposition au Dark Web et de détection de phishing

Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. – Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s’en défendre (Blue Team) –

Pour des raisons juridiques et de confidentialité, le test gratuit ne divulguera pas tous les détails des incidents, tels que les mots de passe volés ou des copies complètes des bases de données compromises. Mais cette vue d’ensemble est suffisamment détaillée et mesurable est facilement disponible pour améliorer le processus décisionnel avant d’investir dans des solutions de surveillance Dark Web :

Exposition AWS au dark Web. Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. - Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s'en défendre (Blue Team)

Test de sécurité et de conformité SSL

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN:

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN

Pour les serveurs de messagerie, le test vérifie également les SPF, DMARC et DKIM correctement configurés qui sont de facto les meilleures pratiques les plus courantes en matière de sécurité des e-mails aujourd’hui et depuis longtemps, ne pas les implémenter est pénible.
En plus de cela, le test effectuera automatiquement une découverte automatique rapide des sous-tâches en temps opportun, rappelant à tout le monde que non seulement le principal « www » site web nécessite une attention. Le test passe méticuleusement par toutes les implémentations SSL/TLS actuellement connues ou les vulnérabilités cryptographiques, y compris Heartbleed, ROBOT, BEAST, POODLE, et une douzaine d’autres défauts qui peuvent permettre l’interception ou le décryptage de vos données en transit.

Un autre avantage important est la cartographie de votre configuration TLS aux exigences spécifiques de PCI DSS, NIST, et HIPAA, de sorte que vous pouvez vérifier si votre force de cryptage répond correctement aux exigences réglementaires pour éviter les pénalités en cas de non-conformité:

Tous les tests peuvent être actualisés et, si vous créez un compte gratuit, téléchargés sous forme de document PDF afin que vous puissiez le partager en interne ou avec vos clients prouvant que vous vous souciez de leur sécurité de données.

HTTPS correctement durci et un site Web sécurisé sont un avantage concurrentiel pouir le commerce électronique, en particulier après les piratages durant le Black Friday et les vidages récurrent et de masse des portefeuilles des acheteurs en ligne.

Test de sécurité et de confidentialité des applications mobiles

Ce test de sécurité mobile gratuit permet désormais le téléchargement d’applications mobiles directement à partir de différents App Stores publics au-dessus de Google Play, et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité :

et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité

Le test mobile effectue à la fois la numérisation dynamique (DAST) et statique (SAST) des applications mobiles, mettant en lumière sur un large éventail de vulnérabilités et de faiblesses mobiles. L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG) :

L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG)

Une attention particulière est accordée à la confidentialité des applications mobiles :

Vous verrez une liste compléte des autorisations demandées par l’application testée et les hébergeurs et serveurs web externes où l’application mobile envoie vos données. Son module intégré d’analyse de composition logicielle (SCA) met en lumiére les bibliothèques tierces et natives utilisées dans l’application mobile.
En raison de sa nature non intrusive, le scanner mobile gratuit ne couvre pas les tests de points de terminaison mobiles tels que les API ou les services Web, qui doivent toujours être inclus dans votre programme de test de sécurité mobile.

Grande pervenche est une plante herbacée pérenne de la famille des Apocynacées. PLante astringente, dirétique, dépurative, tonique, elle est utilisée pour les trouble de la mémoire.
petitepervenche

En testant ImmuniWeb Community Edition, vous allez particulièrement apprécié la réactivité de leur support technique si vous creusez.

Vous pouvez simplement leur laisser un message directement en utilisant une interface Web, devenant une partie de la communauté qui exécute maintenant plus de 100.000 tests quotidiens. Les tests gratuits immuniWeb Community Edition peuvent être consultés par API ou via l’interface Web. Pour les organisations qui cherchent à exécuter un grand nombre de tests par jour ou pour les fournisseurs de cybersécurité qui cherchent à tirer parti des capacités techniques d’ImmuniWeb Community Edition à des fins commerciales, il existe également une API haut de gamme disponible à l’achat.


L’équipe immuniWeb fait des choses cool à suivre en 2021: Leur solution est très prometteuse.

N’hésiter pas à commenter cet article et le partager.

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :