Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 2

IntroductionLe Top 10 de l'OWASP fournit une liste des types de vulnérabilités les plus courants constatés dans les applications Web. Contrairement à une idée reçue souvent diffusée par les fournisseurs de sécurité, le Top 10 de l'OWASP n'est pas une liste de contrôle de vecteurs d'attaque pouvant être simplement bloqués par un Web Application Firewall (WAF). L'objectif est de sensibiliser les développeurs d'applications aux vulnérabilités les plus courantes, d'encourager toute une gamme de pratiques de développement et d'instaurer une culture du développement sécurisé.

Pour répondre au mieux aux 10 vulnérabilités définies par l'OWASP, il est nécessaire de comprendre le rôle que jouent les fournisseurs de sécurité et votre propre organisation dans la sécurisation de vos applications Web. Certains secteurs de risque peuvent être traités uniquement par les développeurs d'applications eux-mêmes. De nombreux fournisseurs de sécurité peuvent aider dans certains domaines, mais ils sont souvent incapables de fournir une protection complète ou adéquate contre une vulnérabilité. Les meilleures solutions sont le fruit d'une combinaison de personnes, de processus et de technologies pour réduire les risques associés au Top 10.

Afin de tirer pleinement profit du Top 10 de l'OWASP, il faut bien comprendre où, comment et dans quelle mesure les fournisseurs de sécurité peuvent accroître l'amélioration de vos propres pratiques de développement. Vous trouverez ci-dessous un aperçu de la manière dont Akamai peut vous aider grâce à ses solutions de sécurité en bordure de l'Internet1, à ses services gérés2 et à son Intelligent Edge Platform sécurisée3.

EDITABLE IMAGE

DDoS Scripts

DNS

Écosystème des menaces Bots

A

PI

Web

Logi

ciel

s m

alveil

lants

WAP Prolexic Analyses

Edge D

NS

Edge Security Bot Manager KSD

EA

A

E

TP

PIM

Akamai Intelligent Edge PlatformTM

www www

SaaS SaaS

IaaS

API

Cloud privé Cloud public

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 3

A1 : injection

Impact : grave Fréquence : courante Exploitabilité : facile

Les failles d'injection (injection SQL, NoSQL, OS et LDAP) surviennent lorsque des données non fiables sont envoyées à un interprète dans le cadre d'une commande ou d'une demande. Les données malveillantes du cybercriminel peuvent amener l'interprète à exécuter des commandes imprévues ou à accéder à des données sans avoir l'autorisation adéquate.

Comment Akamai peut vous aiderLes organisations peuvent utiliser une solution de sécurité WAF pour protéger les applications Web et les API contre les failles d'injection. Toutefois, les organisations doivent toujours appliquer les correctifs des applications Web pour traiter les vulnérabilités identifiées en fonction de leur cycle de vie de développement.

• Le WAF4 d'Akamai assure une protection complète contre les attaques par injection grâce à des règles existantes et prêtes à l'emploi.

• En attendant qu'une application puisse être corrigée, les correctifs virtuels dotés de règles personnalisées peuvent répondre rapidement aux vulnérabilités liées à l'injection ou aux nouvelles vulnérabilités dues à un changement d'application. Ils peuvent également être automatisés et intégrés aux processus DevSecOps afin de tirer profit des fonctions dédiées aux API OPEN d'Akamai.

• Client Reputation5 fournit un score de risque pour les clients malveillants très actifs dans la catégorie Cybercriminels, afin de faciliter l'identification et le blocage des attaques par injection.

• Les attaques par injection peuvent également être analysées en profondeur par le WAF grâce au mode d'alerte Case de pénalité.

A2 : violation d'authentification

Impact : grave Fréquence : courante Exploitabilité : facile

Les fonctions d'application liées à l'authentification et à la gestion de session sont souvent mises en œuvre de manière incorrecte, ce qui permet aux cybercriminels de compromettre les mots de passe, les clés ou les jetons de session, ou encore d'exploiter d'autres failles de mise en œuvre pour usurper temporairement ou définitivement l'identité d'autres utilisateurs.

Comment Akamai peut vous aiderLes organisations doivent réparer leur processus de gestion d'authentification pour traiter intégralement cette vulnérabilité et Akamai peut les aider à détecter et à se protéger des vecteurs d'attaque qui tentent de l'exploiter :

• Le WAF d'Akamai est doté d'une fonction de contrôle de débit capable de gérer des attaques en force.

• Les solutions de gestion des bots6 peuvent détecter et gérer l'automatisation utilisée dans les attaques de type « credential stuffing ».

• Les cookies HTTP peuvent être chiffrés sur la plateforme Akamai7 pour empêcher l'altération et la modification des cookies et ainsi renforcer le processus d'authentification.

• Enterprise Application Access (EAA)8 peut fournir un accès proxy aux applications par le biais d'un « modèle d'accès de moindre privilège » afin de réduire la surface d'attaque de l'application et d'améliorer l'accès grâce aux fonctions d'authentification à deux facteurs (2FA) et d'authentification multifactorielle (MFA).

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 4

A3 : exposition des données sensibles

Impact : grave Fréquence : répandue Exploitabilité : moyenne

De nombreuses API et applications Web ne protègent pas correctement les données sensibles (données financières, soins de santé et informations à caractère personnel). Les cybercriminels peuvent voler ou modifier les données mal protégées pour commettre une fraude à la carte de crédit, une usurpation d'identité ou d'autres crimes. Sans une protection supplémentaire telle que le chiffrement au repos ou en transit, les données sensibles peuvent être compromises. De plus, il est nécessaire de prendre des précautions particulières lorsque ces données sont échangées avec le navigateur.

Comment Akamai peut vous aiderL'exposition des données sensibles couvre de nombreux aspects du traitement des données (transmission, stockage, partage et même exposition involontaire depuis une page Web non protégée). Il est impératif de comprendre que ces données ne peuvent pas être pleinement protégées par une solution de sécurité unique. Néanmoins, plusieurs solutions peuvent traiter chacune différents aspects de cette vulnérabilité. Par exemple :

• Akamai chiffre et protège les données sensibles en transit et assure la conformité PCI en utilisant exclusivement un réseau de diffusion de contenu (CDN) sécurisé avec des racks enfermés, en prenant en charge tous les certificats SSL de marque et en protégeant les clés privées du client.

• Enterprise Application Access peut protéger l'accès distant en chiffrant les communications et en masquant les données confidentielles sur le réseau.

• En outre, Enterprise Application Access peut intégrer des solutions de prévention des pertes de données (DLP) en utilisant ICAP pour renforcer la protection des données sensibles.

• Enterprise Threat Protector (ETP)9 protège contre l'exposition des données sensibles.

A4 : entités externes XML (XXE)

Impact : grave Fréquence : courante Exploitabilité : moyenne

De nombreux processeurs XML anciens ou mal configurés évaluent les références aux entités externes au sein des documents XML. Les entités externes peuvent servir à divulguer des fichiers internes en utilisant la bibliothèque URI du fichier, les partages de fichiers internes, l'analyse des ports internes, l'exécution de code à distance et les attaques par déni de service (DoS).

Comment Akamai peut vous aider• Le WAF d'Akamai inclut des règles capables de détecter et arrêter les attaques XXE avant que l'analyseur XML

traite l'entité externe dangereuse.

• Le WAF d'Akamai intègre des fonctions de protection des API par le biais de contraintes des demandes d'API, permettant de valider les formats XML et JSON par rapport à des formats prédéfinis pour bloquer les attaques XXE.

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 5

A5 : violation du contrôle d'accès

Impact : grave Fréquence : courante Exploitabilité : moyenne

Les restrictions portant sur les actions des utilisateurs authentifiés sont souvent mal appliquées. Les cybercriminels peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou à des données non autorisées (accès aux comptes d'autres utilisateurs, consultation de fichiers sensibles, modification des données des autres utilisateurs, modification des droits d'accès, etc.).

Comment Akamai peut vous aiderLes organisations doivent réparer leur modèle de contrôle d'accès pour traiter intégralement cette vulnérabilité et Akamai peut les aider à détecter et à se protéger contre certains vecteurs d'attaque qui tentent de l'exploiter :

• Enterprise Application Access met à disposition des utilisateurs d'entreprise un modèle d'accès de moindre privilège grâce auquel seuls les utilisateurs authentifiés peuvent accéder aux applications autorisées, favorisant ainsi un modèle de sécurité de type Zero Trust.

• API Gateway10 peut appliquer l'authentification pour les API afin de renforcer le contrôle d'accès.

• Le WAF d'Akamai peut aider à bloquer les attaques en force sur le navigateur grâce à la vérification du référent.

• Les cookies HTTP peuvent être chiffrés sur la plateforme Akamai pour renforcer le contrôle d'accès.

A6 : configuration inadéquate de la sécurité

Impact : modéré Fréquence : répandue Exploitabilité : facile

La configuration inadéquate de la sécurité est le problème le plus répandu. Elle résulte souvent de configurations par défaut non sécurisées, de configurations ad hoc ou incomplètes, d'un stockage dans le cloud, d'en-têtes HTTP mal configurés ou de messages d'erreur détaillés contenant des informations sensibles. Non seulement les systèmes d'exploitation, les cadres, les bibliothèques et les applications doivent tous être sécurisés, mais ils doivent également être corrigés et mis à niveau régulièrement.

Comment Akamai peut vous aiderPar définition, la configuration inadéquate de la sécurité (a.) couvre de multiples aspects de la sécurité des applications et (b.) impose aux organisations de configurer correctement leurs contrôles de sécurité. Même si une configuration adéquate reste la meilleure solution, Akamai peut vous aider à renforcer votre protection contre les fuites de données :

• Le WAF d'Akamai inclut un groupe d'attaque contre les anomalies sortantes pour repérer les fuites de données telles que les codes d'erreur ainsi que le code source résultant d'une configuration inadéquate de la sécurité prête à l'emploi.

• En attendant qu'une application puisse être corrigée, les correctifs virtuels dotés de règles personnalisées peuvent vous aider à traiter rapidement les fuites de données détectées.

• Vous pouvez vous protéger des attaques en force utilisant des identifiants par défaut grâce aux contrôles de débit.

• Une configuration de sécurité trop faible sur les en-têtes de stratégie de sécurité du contenu peut être renforcée sur la plateforme Akamai.

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 6

A7 : Cross-Site Scripting (XSS)

Impact : modéré Fréquence : répandue Exploitabilité : facile

Les failles XSS surviennent lorsqu'une application (a.) ajoute des données non fiables sur une nouvelle page Web sans validation ou évitement adéquats, ou (b.) met à jour une page Web existante avec des données fournies par l'utilisateur en utilisant une API de navigateur capable de créer de l'HTML ou du JavaScript. Le XSS permet aux cybercriminels d'exécuter des scripts dans le navigateur de la victime afin de pirater sa session, de dégrader un site Web ou de rediriger l'utilisateur vers un site malveillant.

Comment Akamai peut vous aiderLes organisations peuvent utiliser une solution de sécurité WAF pour protéger les applications Web contre les failles XSS. Toutefois, les organisations doivent toujours appliquer les correctifs des applications Web pour traiter les vulnérabilités identifiées en fonction de leur cycle de vie de développement.

• Les produits WAF d'Akamai intègrent des règles du pare-feu d'application Web XSS prêtes à l'emploi pour identifier et bloquer les attaques XSS.

• En attendant qu'une application puisse être corrigée, les correctifs virtuels dotés de règles personnalisées peuvent répondre rapidement aux vulnérabilités XSS ou aux nouvelles vulnérabilités dues à un changement d'application.

• Client Reputation fournit un score de risque pour les clients malveillants dans la catégorie Cybercriminels pour faciliter le blocage des attaques XSS.

• La plateforme Akamai peut définir à la volée des en-têtes de règles de réponse de sécurité pour assurer une protection contre les attaques XSS.

A8 : désérialisation non sécurisée

Impact : grave Fréquence : courante Exploitabilité : difficile

La désérialisation non sécurisée entraîne souvent une exécution du code à distance. Même lorsque les failles de désérialisation ne débouchent pas sur une exécution du code à distance, elles peuvent servir à déclencher des attaques de réplication, des attaques par injection ou des attaques par escalade des privilèges.

Comment Akamai peut vous aiderLes organisations peuvent utiliser une solution de sécurité WAF pour protéger les applications Web et les API contre les failles de désérialisation non sécurisée. Toutefois, les organisations doivent toujours appliquer les correctifs des applications Web pour traiter les vulnérabilités identifiées en fonction de leur cycle de vie de développement.

• Les règles WAF d'Akamai peuvent détecter les attaques de désérialisation.

• En attendant qu'une application puisse être corrigée, les correctifs virtuels dotés de règles personnalisées peuvent vous aider à traiter rapidement les nouvelles failles de désérialisation.

• Le WAF d'Akamai inclut des fonctionnalités de protection des API dotées d'un modèle de sécurité positive qui définit les formats d'objet XML et JSON acceptables pour filtrer les XML et JSON malveillants.

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 7

A9 : utilisation de composants avec des vulnérabilités connues

Impact : modéré Fréquence : répandue Exploitabilité : moyenne

Les composants tels que les bibliothèques, les cadres et autres modules logiciels s'exécutent avec les mêmes privilèges que l'application. De plus, les scripts agissent comme des ressources d'application de confiance avec un accès complet aux données de l'application. Si un composant vulnérable est exploité, une telle attaque peut entraîner une grave perte de données ou une prise de contrôle du serveur. Les applications et les API qui utilisent des composants avec des vulnérabilités connues peuvent affaiblir les défenses de l'application et favoriser des impacts et des attaques variés.

Comment Akamai peut vous aiderLes composants tiers sont très populaires et permettent de réduire à la fois les coûts et les temps de développement, mais ils constituent un point d'entrée fréquent, même dans vos applications propriétaires. Il existe plusieurs types de risques. Bien souvent, les organisations ne savent plus quels composants sont utilisés dans leurs applications et les équipes de sécurité n'ont pas conscience du problème. En outre, les organisations n'ont aucun contrôle sur la manière dont les nouvelles vulnérabilités identifiées sont traitées par l'entité tierce. En conséquence, il s'avère parfois difficile, voire impossible, de corriger directement les applications en temps voulu. Il est donc nécessaire de recourir à une solution de sécurité comme un WAF ou une protection des scripts :

• Le WAF d'Akamai inclut plusieurs règles conçues pour répondre aux vulnérabilités connues, soit spécifiquement dans vos applications, soit dans les composants tiers.

• En attendant qu'une application puisse être corrigée, les correctifs virtuels dotés de règles personnalisées peuvent répondre rapidement aux vulnérabilités émergentes ou aux nouvelles vulnérabilités dues à un changement d'application.

• Le WAF d'Akamai fournit des fonctionnalités de protection des API pour les composants tiers contre les attaques exploitant les vulnérabilités connues.

• Client Reputation fournit un score de risque pour les clients malveillants dans la catégorie Analyse Web pour aider à la protection contre l'exploitation des nouvelles vulnérabilités.

• Page Integrity Manager protège les applications Web contre les nouvelles menaces telles que le vol de données de cartes bancaires (web skimming), le détournement de formulaires (form jacking) et les attaques Magecart en détectant les comportements de script suspects et en fournissant des informations exploitables pour bloquer les activités malveillantes.

• Page Integrity Manager bloque les vols de données depuis les scripts internes ou tiers vers des URL avec des vulnérabilités connues grâce à une base de données des vulnérabilités et des failles courantes (CVE).

A10 : surveillance et journalisation insuffisantes

Impact : modéré Fréquence : répandue Exploitabilité : moyenne

Une surveillance et une journalisation insuffisantes, associées à une intégration absente ou inefficace des réponses aux incidents, permettent aux cybercriminels d'attaquer les systèmes, de maintenir la persistance, d'atteindre d'autres systèmes et d'altérer, d'extraire ou de détruire des données. La plupart des études montrent qu'il faut en général plus de 200 jours pour détecter une faille et que les failles de ce type sont le plus souvent détectées par une partie externe plutôt que par la surveillance ou les processus internes.

Comment Akamai améliore vos pratiques de sécurité pour atténuer les 10 principaux risques définis par l'OWASP 8

Comment Akamai peut vous aiderLe manque de surveillance et de journalisation ne constitue pas une vulnérabilité en soi, mais représente une brèche dans la capacité de l'organisation à répondre aux vulnérabilités et aux attaques qui tentent de les exploiter. Akamai propose de nombreuses fonctionnalités pour fournir aux organisations une meilleure visibilité contre les attaques :

• Akamai fournit des tableaux de bord et des outils de création de rapport dans son interface utilisateur graphique Luna Control Center11.

• Akamai intègre l'infrastructure SIEM existante des organisations pour mettre en corrélation les événements détectés par Akamai avec ceux des autres fournisseurs de sécurité.

• Les services de sécurité gérés d'Akamai assurent une analyse et des capacités de réponse 24 h/24, 7 j/7.

• Le WAF d'Akamai inclut une fonctionnalité Case de pénalité pour augmenter la journalisation des sessions suspectes et les soumettre à une analyse détaillée.

• Enterprise Application Access d'Akamai intègre une solution de gestion des identités pour authentifier et contrôler l'accès à toutes les applications d'entreprise. En l'associant avec sa fonctionnalité de proxy basé sur l'identité, les organisations peuvent améliorer leur visibilité sur les actions des utilisateurs, en particulier sur les actions GET/POST.

• Enterprise Threat Protector d'Akamai assure une visibilité totale sur toutes les requêtes DNS externes à l'entreprise, qu'elles soient malveillantes ou non.

ConclusionLa meilleure défense contre les 10 principales vulnérabilités de l'OWASP consiste à rassembler les personnes, les processus et les technologies des organisations et des fournisseurs de sécurité. Akamai fournit une technologie de pointe et un personnel hautement expérimenté capables de s'aligner sur vos processus. Pour en savoir plus sur les solutions de sécurité en bordure de l'Internet d'Akamai, consultez notre site Web. Si vous souhaitez discuter en détails des solutions que nous proposons pour créer la protection la mieux adaptée à votre entreprise, contactez votre représentant commercial Akamai.

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Akamai Intelligent Edge Platform englobe tout,

de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent

sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures

multicloud. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et à l'abri des attaques et des menaces.

Les solutions de sécurité en bordure de l'Internet, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille

d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24, 7 j/7, 365 jours par an. Pour savoir

pourquoi les plus grandes marques mondiales font confiance à Akamai, rendez-vous sur www.akamai.com, blogs.akamai.com ou sur @Akamai sur

Twitter. Vous trouverez nos coordonnées dans le monde entier à l'adresse www.akamai.com/locations. Publication : 05/20.

Sources

1. Sécurité en bordure de l'Internet

2. Services et support

3. Akamai Intelligent Edge Platform™

4. Kona Site Defender (KSD) et Web Application Protector (WAP)

5. Client Reputation

6. Bot Manager

7. Réseau de diffusion de contenu (CDN) sécurisé

8. Enterprise Application Access

9. Enterprise Threat Protector

10. Passerelle d’API

11. Luna Control Center