4 Outils de Test en Cyber Securité en ligne gratuits

Pour 2021 – 4 outils cyber

En septembre 2020, Gartner a publié la liste des « 9 tendances en matière de sécurité et de risque pour 2020 », l’accent est mis sur la complexité et la taille croissantes du paysage des menaces.

Le manque de visibilité des surfaces d’attaque externes a entraîné une augmentation spectaculaire des compromisions et des fuites de données personnelles en 2020, compromettant l’IIP (Personal Identifiable Information) et d’autres données sensibles de millions de personnes.Ces incidents découlent d’intrusions sophistiquées d’acteurs malveillants d’État-nation, de groupes de pirates APT (ATP signifie Advanced Persistent Threat), d’erreurs humaines et de d’erreur de configurations généralisées exposant sur Internet le stockage ou les bases dedonnées cloud avec des données confidentielles.

Les analystes du Gartner recommandent d’automatiser les tâches et les processus de sécurité laborieux, dans un contexte de pénurie persistante de compétences en cybersécurité et de s’attaquer rapidement aux risques émergents liés à la sécurité des Clouds et des conteneurs. Gartner recommande d’être très vigilant aux exigences en matière de protection de la vie privée et de réglementation afin d’éviter des amendes sévères et d’autres sanctions.

La mise en œuvre d’un modèle « Zéro Trust » (confiance zéro) au sein de tout type d’organisation, quelle que soit sa taille est le conseil avisé pour 2021. Alors que la pandémie a un impact dévastateur sur de nombreuses organisations et entreprises, la plupart d’entres ont tenté ou déplacé chaotiquement leurs processus d’affaires vers l’espace numérique moins affecté.

Paris à automne.

Toutefois, les budgets consacrés à la cybersécurité ont été malmenés compte tenu de l’effet collatéral du ralentissement économique global. La diminution des budgets a sans surprise exacerbé la transformation numérique en mode stress au mépris flagrant des composants de sécurité et de confidentialité qu’implique cette sur exposition. Les dépenses de cybersécurité vont probablement rebondir voire augmenter à nouveau en 2021, pour soulager les DSI blasés et à leurs équipes de sécurité informatique à bout. En attendant, voici quelques outils de sécurité vous pouvez vous familiariser qui, il me semble, pourraient faire une différence à tout les programmes de cybersécurité et leur planification budgétaire 2021.

Fin novembre 2020, la société de sécurité ImmuniWeb a annoncé une mise à jour majeure de son édition communautaire libre. La solution fournit 4 tests de sécurité gratuits qui couvrent les priorités en matière de sécurité et de confidentialité mentionnées par Gartner et offrent également de solides capacités pour surveiller les incidents de sécurité et les cybermenaces externes ciblant votre entreprise.

ImmuniWeb fait parti des fournisseurs de cybersécurité les plus innovants de la Conférence RSA 2020. Depuis lors, les progrès sont impressionnants dans de nombreuses directions et domaines de sécurité de l’information. Voici un tour d’horizon d’ImmuniWeb Community Edition et vous pouvez l’essayer maintenant sans hésiter.

Test de sécurité et de conformité du site Web

Pour certains une analyse de surface, en staging exposé, ce test de sécurité du site web peut précéder un scanner de vulnérabilité web commercial. Le test gratuit est non intrusif et sans danger pour la production – vous ne planterez pas accidentellement votre ancien serveur Web ou votre application Web à cause d’un débordement ou de l’exploitation d’un Bufferflow ou d’un RCE (n an RCE attack, hackers intentionally exploit a remote code execution vulnerability to run malware. RCE can have disastrous ramifications for an MSP’s network—by prompting the targeted device to perform code execution, a hacker can run their own programming in its place.).

ImmuniWeb et son module « Software Composition Analysis (SCA) » dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle. Le module SCA comprendrait plus de 300 framework CMS et Web, 160 000 plugins et extensions, et 8 900 bibliothèques JavaScript et sa base de données intégrée sur les vulnérabilités couvre plus de 12 000 vulnérabilités CVE :

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS :

In one test, you simultaneously get an inclusive picture on how to harden your website security, improve web server resilience, and enhance applicable privacy and compliance requirements.

Test d’exposition au Dark Web et de détection de phishing

Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. – Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s’en défendre (Blue Team) –

Pour des raisons juridiques et de confidentialité, le test gratuit ne divulguera pas tous les détails des incidents, tels que les mots de passe volés ou des copies complètes des bases de données compromises. Mais cette vue d’ensemble est suffisamment détaillée et mesurable est facilement disponible pour améliorer le processus décisionnel avant d’investir dans des solutions de surveillance Dark Web :

Test de sécurité et de conformité SSL

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN:

Pour les serveurs de messagerie, le test vérifie également les SPF, DMARC et DKIM correctement configurés qui sont de facto les meilleures pratiques les plus courantes en matière de sécurité des e-mails aujourd’hui et depuis longtemps, ne pas les implémenter est pénible.
En plus de cela, le test effectuera automatiquement une découverte automatique rapide des sous-tâches en temps opportun, rappelant à tout le monde que non seulement le principal « www » site web nécessite une attention. Le test passe méticuleusement par toutes les implémentations SSL/TLS actuellement connues ou les vulnérabilités cryptographiques, y compris Heartbleed, ROBOT, BEAST, POODLE, et une douzaine d’autres défauts qui peuvent permettre l’interception ou le décryptage de vos données en transit.

Un autre avantage important est la cartographie de votre configuration TLS aux exigences spécifiques de PCI DSS, NIST, et HIPAA, de sorte que vous pouvez vérifier si votre force de cryptage répond correctement aux exigences réglementaires pour éviter les pénalités en cas de non-conformité:

Tous les tests peuvent être actualisés et, si vous créez un compte gratuit, téléchargés sous forme de document PDF afin que vous puissiez le partager en interne ou avec vos clients prouvant que vous vous souciez de leur sécurité de données.

HTTPS correctement durci et un site Web sécurisé sont un avantage concurrentiel pouir le commerce électronique, en particulier après les piratages durant le Black Friday et les vidages récurrent et de masse des portefeuilles des acheteurs en ligne.

Test de sécurité et de confidentialité des applications mobiles

Ce test de sécurité mobile gratuit permet désormais le téléchargement d’applications mobiles directement à partir de différents App Stores publics au-dessus de Google Play, et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité :

Le test mobile effectue à la fois la numérisation dynamique (DAST) et statique (SAST) des applications mobiles, mettant en lumière sur un large éventail de vulnérabilités et de faiblesses mobiles. L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG) :

Une attention particulière est accordée à la confidentialité des applications mobiles :

Vous verrez une liste compléte des autorisations demandées par l’application testée et les hébergeurs et serveurs web externes où l’application mobile envoie vos données. Son module intégré d’analyse de composition logicielle (SCA) met en lumiére les bibliothèques tierces et natives utilisées dans l’application mobile.
En raison de sa nature non intrusive, le scanner mobile gratuit ne couvre pas les tests de points de terminaison mobiles tels que les API ou les services Web, qui doivent toujours être inclus dans votre programme de test de sécurité mobile.

petitepervenche

En testant ImmuniWeb Community Edition, vous allez particulièrement apprécié la réactivité de leur support technique si vous creusez.

Vous pouvez simplement leur laisser un message directement en utilisant une interface Web, devenant une partie de la communauté qui exécute maintenant plus de 100.000 tests quotidiens. Les tests gratuits immuniWeb Community Edition peuvent être consultés par API ou via l’interface Web. Pour les organisations qui cherchent à exécuter un grand nombre de tests par jour ou pour les fournisseurs de cybersécurité qui cherchent à tirer parti des capacités techniques d’ImmuniWeb Community Edition à des fins commerciales, il existe également une API haut de gamme disponible à l’achat.

L’équipe immuniWeb fait des choses cool à suivre en 2021: Leur solution est très prometteuse.

N’hésiter pas à commenter cet article et le partager.

Il est temps d’arrêter de planifier des choses pour les décaler ensuite. Vraiment !

En appelant le service client d’un vendeur en ligne, j’entends un message disant: «En raison d’un grand nombre d’appels, nous ne pouvons donné suite à votre appel actuellement,Laisser un message. Nous vous rappelons avant la fin de la journée. »

Après plusieurs appels, plus d’une douzaine de fois sur plusieurs jour, seuls deux rappeleffectifs..effectifs.

Pourquoi un service clients aurait-il un message vocal assurant aux appelants que «nous rappelleront dans la journée» et ne retournerait ensuite que 20% des appels pour lesquels il s’est engagé ?

Probablement pour les mêmes raisons, que la plupart d’entre nous qui promettent «de répondre au mail lundi» mais ne le font pas, ou «d’envoyer ce doc avant vendredi», et qui ne le faisons pas

Pourquoi disons nous que nous allons faire des choses et qu’ensuite nous les faisons pas ?

Nous nous surengageons. Nous n’aimons pas décevoir les gens, alors nous leur disons ce que nous pensons qu’ils veulent entendre.

Nous ressentons de la pression sur le moment et ne nous arrêtons pas pour réfléchir à la pression que nous ressentirons plus tard.

Nous ne pensons pas au temps que les choses prendront réellement – et nous ne laissons pas assez de temps pour gérer les urgences (inévitables) et les retards. Pour limiter les conséquences de ce type de comportement n’hésitez pas à bouquet des espaces en surestimant de 50 % de la charge nécessaire. Nous ne sommes pas à la résistance des matériaux pour le coefficient est de trois à six mais cela vous permettra de faire de meilleures nuits.

Souvent les personnes vous disent oui puis, à l’approche de l’engagement ou à cause d’une opération urgente ou d’un engagement ou d’un oubli ou d’un retard, ils doivent reporter ou annuler. Probablement comme vous je ne suis pas en reste sur ce type de comportement. Cependant lorsque ça vous arrive de voir un rendez-vous annulé vous trouvez la situation désagréable est souvent irrespectueuse.

Le livre de Stephen M.R. Covey, The Speed of Trust. Il s’agit d’être digne de confiance. Comme vous, j’ai toujours pensé que je l’étais, mais l’auteur explique que lorsque vous prenez des rendez-vous et que vous les annulez, alors vous n’êtes pas digne de confiance. Lo

rsque vous ne respectez pas les engagements que vous prenez librement, la confiance n’est plus au rendez-vous non plus et résultat ne peut pas être brillant.

Bien sûr , je me suis rendu compte comme vous que la tentation de ne pas donner suite est aggravée par la facilité. Jamais l’annulation, par exemple, n’a été plus facile et moins douloureuse pour nous qu’à l’ère du SMS et du mail.

On peut annuler sans jamais avoir à parler avec, encore moins à rencontrer, quelqu’un. Nous pouvons annuler cinq minutes à l’avance et sans explication. Ajoutez simplement une émoticône à notre message et nous pouvons nous convaincre que c’est presque la même chose que si nous avions respecté notre obligation.

COVID-19 Paris 2020

Mais le processus de réflexion n’est toujours pas sans douleur. Nous nous en sentons coupables. Nous nous demandons quoi faire – et l’indécision épuise. Enfin, nous annulons et nous sapons notre confiance en nous-mêmes et celle des autres. Cela renforce notre conviction que nous ne pouvons pas tout faire – que nous ne pouvons pas toujours contrôler notre emploi du temps, ni même nos efforts.

Il y a des conséquences sur notre vie personnelle, et il y a certainement des conséquences sur le lieu de travail.

Tenir ses engagements est un signe de maturité. Les employés qui ne terminent pas leurs missions, par exemple, ou ne les terminent pas tard ou mal, ou sont eux-mêmes régulièrement en retard, manquent des réunions et annulent des rendez-vous, sont des freins pour les autres membres de l’équipe et un sujet pour leurs employeurs.

Ces mauvaises habitudes sont presque omniprésentes, certains d’entre nous le constatent alors qu’ils gravissent les échelons vers des rôles de leadership, où le dysfonctionnement qu’elles génèrent est amplifié.

Il est difficile de tenir vos subordonnés pour responsables lorsque vous ne vous tenez pas responsable.

Il est difficile de faire confiance aux autres quand on sait qu’on ne peut pas compter sur nous.

Comment susciter l’engagement de ceux que nous dirigeons alors qu’il est évident pour eux que l’engagement est un principe négociable pour nous?

Il est impossible d’être un bon leader si nous ne nous gouvernons pas nous-mêmes en vous montrant exemplaire.

Dans sa ville ni Dieu ni maître.

Il faut peut être décidé d’arrêter de reporter nos engagements et de les traiter comme tels : des engagements.

Alors vous découvrirez que lorsque vous vous engagé à faire les choses que vous avez dit que vous ferais, vous vous sentirez en fait beaucoup moins stressé par eux, ils vous porteront.

De facto plus en plus d’engagements tenus, engendrent de plus en plus de confiance. Il faut apprendre combien de temps les choses prennent vraiment, alors vous serez en bonne posture pour donner des estimations sur le moment où vous pourrez livrer.

Si vous voulez vraiment dire non lorsque vous dites oui, alors dites non en premier lieu.

Nous sommes tous dans le même bateau – nous avons un temps limité et un nombre apparemment infini de choses intéressantes à faire avec.

Vous ne savez pas comment dire non? Google « comment dire non à une demande », puis étudiez.

Engagez-vous à ne pas accepter de faire les choses à moins d’être sûr de donner suite. Demandez du temps pour réfléchir en cas de doute.

Ne dépassez pas vos capacités. Si vous êtes vraiment dépassé, vous devrez peut-être passer par une période de transition pour éliminer certaines choses; après cela, une fois que vous dites oui à quelque chose, tenez-vous-en au oui.

Si l’engagement semblait être une bonne idée à l’époque, il l’est toujours – même si la valeur ne se trouve pas dans l’activité elle-même, mais dans la fiabilité et le suivi.

Keep your image small. Container -Docker la garder petite : Votre force!

Les 5 régles de base

1) Ne stockez pas de données dans des conteneurs - Un conteneur peut être arrêté, détruit ou remplacé. Une application version 1.0 fonctionnant en conteneur devrait être facilement remplacée par la version 1.1 sans aucun impact ni perte de données. Pour cette raison, si vous avez besoin de stocker des données, faites-le dans un volume. Vous devez également faire attention si deux conteneurs écrivent des données sur le même volume cela pourrait entraîner une corruption. Assurez-vous que vos applications sont conçues pour écrire dans un magasin de données partagé.

2) Ne distribuer pas votre application en deux parties - Comme certaines personnes voient les conteneurs comme une machine virtuelle, la plupart d'entre eux ont tendance à penser qu'ils devraient déployer leur application dans des conteneurs en cours d'exécution existants. Cela peut être vrai pendant la phase de développement où vous devez déployer et déboguer en continu; mais pour un pipeline de livraison continue (CD) vers l'assurance qualité et la production, votre application doit faire partie de l'image. N'oubliez pas: les conteneurs sont immuables.

3) Ne créez pas de grosses images – Une image lourde sera plus difficile à diffuser. Assurez-vous que vous ne disposez que des fichiers et bibliothèques requis pour exécuter votre application / processus. N’installez pas de packages inutiles et n’exécutez pas de «mises à jour» (yum update) qui téléchargent de nombreux fichiers sur un nouveau calque d’image. ( C’est détaillé plus bas avec deux exemples.)

4) N’utilisez pas une seule layer d’image – Pour utiliser efficacement le système de fichiers en layer, créez toujours votre propre couche d’image de base pour votre système d’exploitation, puis une couche pour la définition du nom d’utilisateur, une layer pour l’installation d’exécution, une autre pour la configuration , et enfin la layer application pour votre application. Ainsi il sera plus facile de recréer, gérer et diffuser votre image.

5) Ne créez pas d’images à partir de conteneurs en cours d’exécution (Idée de debutant?)- En d’autres termes, n’utilisez pas «docker commit» pour créer une image. Cette méthode pour créer une image n’est pas reproductible et doit être complètement prohibée. Utilisez toujours un Dockerfile ou toute autre approche S2I (source-image) totalement reproductible, et vous pouvez suivre les modifications apportées au Dockerfile si vous le stockez dans un référentiel de contrôle de source (git).

6) N’utilisez pas uniquement la balise « latest »sur une version stable- La balise « Latest » est equivalente à « SNAPSHOT » pour les utilisateurs de Maven. Les balises sont une bonne pratique du fait de la nature du système de fichiers en couches des conteneurs. Pour limiter les surprises lorsque vous construisez votre image quelques mois plus tard et qvous rendre compte que votre application ne peut pas s’exécuter car une couche parente (FROM dans Dockerfile) a été remplacée par une nouvelle version qui n’est pas rétrocompatible ou parce qu’une mauvaise La «dernière» version a été extraite du cache de compilation. La balise « latest » doit également être évitée lors du déploiement de conteneurs en production, car vous ne pouvez pas savoir quelle version de l’image est en cours d’exécution. Cependant si votre cycle le permet il est important de raffraichir vos CI/CD afin d’^étre au bon niveau de patch et de ne pas laisser trainer de CVE.

7) N’exécutez pas plus d’un processus dans un seul conteneur – Les conteneurs sont parfaits pour exécuter un seul processus (démon http, serveur d’applications, base de données), mais si vous avez plus d’un processus, vous risquez d’avoir plus de difficultés à gérer, récupérer les journaux et mettre à jour les processus individuellement.

8) Ne stockez pas les identifiants dans l’image. Utilisez des variables d’environnement – Vous ne souhaitez pas coder en dur un nom d’utilisateur / mot de passe dans votre image. Utilisez les variables d’environnement pour récupérer ces informations à l’extérieur du conteneur. Un bon exemple de ce principe est l’image Postgres.

9) N’exécutez pas de processus en tant qu’utilisateur root – « Par défaut, les conteneurs Docker s’exécutent en tant que root. À mesure que le docker mûrit, des options par défaut plus sécurisées sont disponibles. Utiliser root est dangereux pour les autres et souvent inutile, faite l’effort de contruire des containers rootleess. Votre image doit utiliser l’instruction USER pour spécifier un utilisateur non root pour les conteneurs à exécuter en tant que ”. ( Guidance for Docker Image Authors)

10) Ne vous fiez pas aux adresses IP – Chaque conteneur a sa propre adresse IP interne et cela pourrait changer si vous démarrez et arrêtez le conteneur. Si votre application ou microservice doit communiquer avec un autre conteneur, utilisez des variables d’environnement pour transmettre le nom d’hôte et le port appropriés d’un conteneur à un autre.

En savoir plus sur – https://developers.redhat.com/topics/kubernetes

Exemples : Comment garder sa légéreté ?

Commencons par illustrer le problème, par une image toute fraiche de Fedora: latest (ou RHEL). (Utilisez le fedora docker pull: latest à l’heure de cet article version 32).

Une fois terminé, l’exécution de la commande docker images, montre une taille d’image de 204,7 Mo. Nous allons maintenant créer une image personnalisée qui contient JDK 1.8 et WildFly 20.0.0.Final, à l’aide du Dockerfile suivant (créer votre dockerfile). https://github.com/FROMENT/tinydocker/blob/main/fedora31

La construction de cette image donne une taille finale de 671.16 MB, et en faisant un historique du docker pour voir la taille de chaque layer. JDK 1.8 représente 239.54 MB, et WildFly a ajouté 230.7 MB à la taille totale de l’image – c’est beaucoup d’espace!

De plus, s’il vous prent l’envie de créer une image WildFly 21.0.0.Final.

Si vous ne souhaitez pas réinstaller JDK 1.8, vous pourriez être tenté de réutiliser l’image existante en remplaçant WildFly 20.0.0.Final par 21.0.0.FINAL. Ce faisant, vous vous attendez probablement à ce que cette nouvelle image ait presque la même taille de 671.1MB, mais en fai la taille d’image résultante augmentera à 728,1 Mo. L’image aura augmenté de 239.63 MB même si vous supprimez WildFly 20.0.0.Final avant d’ajouter WildFly 21.0.0.FINAL dans l’image docker. La différence de taille n’est pas due aux différences entre les versions de WildFly mais aux traces laissées en fonction des modalité de construction.

Copier lors de l’écriture

Afin de comprendre ce comportement, nous devons comprendre que le système de fichiers du conteneur Docker utilise une technique de copie sur écriture qui améliore le temps de démarrage du conteneur (incroyablement rapide!).

En comparant les conteneurs aux machines virtuelles ordinaires. Bien que cette technique contribue de plusieurs manières à rendre les conteneurs docker efficaces, elle peut entraîner une utilisation supplémentaire du disque; ainsi, les auteurs d’images docker doivent prendre en compte plusieurs choses pour éviter de créer de grosses images.

Pour expliquer: chaque instruction RUN dans le Dockerfile écrit une nouvelle layer dans l’image. Chaque couche nécessite de l’espace supplémentaire sur le disque; par conséquent, lorsque nous «déplaçons» WildFly, nous créons en fait une nouvelle couche. Afin de garder le nombre de couches au minimum, toute manipulation de fichier comme le déplacement, l’extraction, la suppression, etc., doit idéalement être effectuée sous une seule instruction RUN.

La ligne suivante, par exemple, installe WildFly dans le conteneur, et les commandes de téléchargement, d’extraction, de déplacement et de nettoyage sont effectuées sur une seule ligne. Cela donne une taille finale de 569,1 Mo:

   "cd /tmp && \
        curl -O https://download.jboss.org/wildfly/$WILDFLY_VERSION/wildfly-$WILDFLY_VERSION.tar.gz && \
        tar xf wildfly-$WILDFLY_VERSION.tar.gz && \
        mv /tmp/wildfly-$WILDFLY_VERSION /opt/jboss/wildfly && \
        rm /tmp/wildfly-$WILDFLY_VERSION.tar.gz"

Maldives

Yum Update

Qu’en est-il de l’utilisation de la mise à jour par yum?
Pour mieux illustrer la réponse à cette question, deux images: fedora: 31 et fedora: 32. Ces deux images personnalisées ont la même instruction de mise à jour RUN dnf -y dans leurs fichiers Docker respectifs, mais le résultat est que ce fedora: 31 a une taille de 562MB, tandis que le plus récent fedora: 32 a une taille de 436MB.

Le container Fedora: 31 est plus volumineux car il a fallu télécharger beaucoup plus de fichiers pour la mettre «à jour» avec Fedora: 32. Ainsi, cet exemple démontre que l’exécution des dernières versions des plates-formes existantes (par exemple Fedora 32 au lieu de 31) peut non seulement accélérer la création d’images, mais aussi économiser de l’espace en empêchant l’écriture de fichiers supplémentaires sur une couche intermédiaire.

N’oubliez pas que les «mises à jour» déclenchent de nombreuses modifications de fichiers lors du téléchargement de nouveaux packages rpm et de leur installation. Comme expliqué précédemment, nous ne pouvons pas modifier les couches d’image précédentes, mais nous pouvons au moins nous débarrasser du cache rpm en une seule commande RUN. Avec une petite modification à RUN dnf -y update && dnf clean all dnf clean all </strong> , l’image est réduite de 358,2 Mo à 216,2 Mo (seulement 11,5 Mo de plus que le fedora original: 23 image). Donc, si vous avez besoin de faire une mise à jour, gardez à l’esprit que vous devez également nettoyer par la suite pour libérer autant d’espace que possible.

Article inspiré de Redhat.com
https://developers.redhat.com/blog/2016/03/09/more-about-docker-images-size/