Webinar ACUNETIX

21 Avril 2020

Julien CAYSSOL

www.certilience.fr - 04 28 29 72 50 2

Sommaire

1- Présentation de la société Acunetix

2 - Présentation de la solution Acunetix

3 - Présentation du Logiciel

4 - Questions réponses

www.certilience.fr - 04 28 29 72 50 3

Contexte de sécurité

• 65 vols de données par seconde

• 201 jours pour découvrir une cyberattaque

• Une entreprise subit 29 cyberattaques par an

www.certilience.fr - 04 28 29 72 50 4

Pourquoi la sécurité des applications web?

• Les pirates se concentrent sur les applications web

• Les applications Web sont accessibles au public 24 h sur 24 et 7 jours / 7,

• Les applications Web sont souvent moins testées.

• Le Firewall protège votre réseau mais pas vos sites Web.

• Le Certificat SSL ne protège pas votre serveur maisl’Utilisateur

www.certilience.fr - 04 28 29 72 50 5

Pourquoi attaquent-il les sites?

• Pour accéder à des données sensibles (cartes de credit, des emails, des mots de passe, …)

• Pour utiliser la machine : botnets, minage

• Pour diffuser des contenus illégaux

• Pour améliorer artificiellement votre classement, ce qui peut générer des sanctions de la part des moteurs de recherches

➔ Il est donc important de mesurer l’exposition des sites régulièrement.

www.certilience.fr - 04 28 29 72 50 6

Présentationde la sociétéAcunetix

Made by Alan B. Consultant Avant-vente 6

www.certilience.fr - 04 28 29 72 50 7

L’histoire d’Acunetix

• Fondé en 2004

• Pionnier en Application de Sécurité Web

• Technologie Propriétaire AcuSensor

• Membre de l’OWASP

• A remporté de nombreux Prix Informatiques

• Titulaire de licence de brevets

www.certilience.fr - 04 28 29 72 50 8

8

Mad

e b

y A

lan

B. C

on

sult

ant

Ava

nt-

ven

te

www.certilience.fr - 04 28 29 72 50 9

Présentationde la Solution Acunetix

9

www.certilience.fr - 04 28 29 72 50 10

La solution Acunetix

• Acunetix est le leader technologique des tests Automatisés de sécurité des applications Web.

• Il explore et analyse automatiquement les sites Web et les applications Web standard et personnalisées pour plus de 6 500 vulnérabilités Web afin d'aider les entreprises à renforcer leur sécurité Web.

• 98% des vulnerabilités trouvées grace aux technologies Acunetix

• AcuSensor : module intégré côté serveur. Inspecte le code source d’un site web. Meilleure technologie actuelle en matière de détection

www.certilience.fr - 04 28 29 72 50 11

Architecture type de scans

Réseau Entreprise

Scan sur site ou en mode Cloud

Zone 1

www.certilience.fr - 04 28 29 72 50 12

Une TARGET?

• Une Target est un site Web, une application Web, un serveur ou un périphérique réseau que vous souhaitez analyser pour détecter les vulnérabilités de sécurité en utilisant Acunetix.

• Un nom de domaine entièrement qualifié

• Un site Web, une application Web, un serveur ou un périphérique réseau que vous souhaitez analyser pour détecter les vulnérabilités de sécurité

• Différentes URL dans le même nombre de domaines que 1 cible. Par ex. www.domain.com et www.domain.com/blog

• Les sous-domaines sont des cibles différentes. Par ex. www.domain.com et www2.domain.com consomment 2 cibles

www.certilience.fr - 04 28 29 72 50 13

Les Fonctionnalités

Detect 6,500+ web vulnerabilities

Acunetix DeepScan Crawler

Scan for 50,000+ network vulnerabilities

Acunetix AcuSensor Compliance Reports

Acunetix AcuMonitor

Assign Target Management to Users

Proof-of-ExploitAcunetix SmartScan Incremental Scanning

Malware Detection

www.certilience.fr - 04 28 29 72 50 14

Les différents tests :

DAST SAST IAST

Interagit avec les applicatifs web

on front

Interagit avec le code source Analyse comment le code source

est exécuté Grâce à un fichier

installé dans le code source, il va

testé .NET, le PHP et le Java

Acunetix Deepscan - Acunetix Acusensor

Qualys, Rapid 7, Netsparker Analyse uniquement du code, hors

contexte d’exécution

-

Made by Alan B. Consultant Avant-vente 14

www.certilience.fr - 04 28 29 72 50 15

3 Technologies différenciantes

Deepscan

• Peut crawler et scanner des sites web complexes et identifier toustypes de vulnérabilités(même dans CMS Joomla, Wordpress…)

AcuSensor

• Module intégré côtéserveur. Inspecte le code source d’un site web. Meilleuretechnologieactuelle enmatière de détection

AcuMonitor

• Service intermédiairede détectiondes scripts malicieux (out-of-band, XSS)

www.certilience.fr - 04 28 29 72 50 16

« Login Sequence Recorder »

• Le « login sequence recorder » consiste à enregistrer un log afin d’automatiser une connexion pour permettre le scan des Urls.

Permet de scanner les urls qui se trouvent derrières une authentification

www.certilience.fr - 04 28 29 72 50 17

Les autres fonctions

• Possibilité de mettre en pause en scan,

• Définir des horaires d’exclusions

• Exclure des Urls

www.certilience.fr - 04 28 29 72 50 18

Génération de reporting très élaborés

• Pour les développeurs et les responsables de la conformité

• Format PDF, XML ou synchronise API avec les logiciels d’issue tracker (Github, Gitlab, …)

• Rapports juridiques respectant la conformité

– PCI

– HIPAA

– Sarbanes Oxley

• Normes de Sécurité

– OWASP top 10

– CWE / Sans top 25

– DISA

– NIST

– Web Application Security Consortium

• Outil de suivi des vulnérabilités

www.certilience.fr - 04 28 29 72 50 19

Génération de reporting très élaborés

• Virtual patching

– Export des résultats pour un import dans Imperva/F5/Fortinet

• Gestion des profils

– Définition des équipes

– Définition des permissions

– Définition des visions

www.certilience.fr - 04 28 29 72 50 20Made by Alan B. Consultant Avant-vente

Principe de fonctionnement

www.certilience.fr - 04 28 29 72 50 21

Démonstration

www.certilience.fr - 04 28 29 72 50 22

accueil

www.certilience.fr - 04 28 29 72 50 23

Définition Target

www.certilience.fr - 04 28 29 72 50 24

Définition Target

www.certilience.fr - 04 28 29 72 50 25

Définition Type de scan

Scan Type : Complet ou

focus sur un type de

vulnérabilité

Report : OWASP, rapide,

comparaison

Schedule : Date du scan et

prochain scan

www.certilience.fr - 04 28 29 72 50 26

Résultats

www.certilience.fr - 04 28 29 72 50 27

Résultats – Rapport complet

Intégration possible

avec un outil interne.

Issue tracker ou par

email

www.certilience.fr - 04 28 29 72 50 28

Résultats – Rapport complet

www.certilience.fr - 04 28 29 72 50 29

L’offred’Acunetix

29

www.certilience.fr - 04 28 29 72 50 30

Vue d’ensemble

Acunetix v13 Standard

Acunetix v13 Premium

Acunetix 360

www.certilience.fr - 04 28 29 72 50 31

www.certilience.fr - 04 28 29 72 50 32

www.certilience.fr - 04 28 29 72 50 33

Overview

Standard Premium 360

Detect 6500+ web vulnerabilities ✔ ✔ ✔

Acunetix AcuSensor (IAST) ✔ ✔

Acunetix AcuMonitor ✔ ✔ ✔

Scan for 50,000+ network vulnerabilities ✔

Multiple Scan Engines ✔ ✔

Web Application Discovery ✔

Customizable Workflows ✔

Multi-user & User Roles ✔ ✔

Single Sign On ✔

Compliance Reports ✔ ✔

CI/CD Integration ✔

www.certilience.fr - 04 28 29 72 50 34

Les plus de la solution :

• Scan en profondeur de vos sites

• Possibilité de dérouler un scan régulier de vos site ( Pas de licence au scan)

• Possibilité d’automatiser le traitement des vulnérabilités dans un outil de tickets

• Possibilité d’intégrer les vulnérabilités identifiées dans un Firewall Web

• Possibilité de faire un scan différentiel

• Scalabilité de l’infrastructure

• Il est possible de dérouler un POC

www.certilience.fr - 04 28 29 72 50 35

Des questions ?