Rapport de conformité de la STIG de sécurité et de développement des applications de la DISA, V6R3
Ce rapport affiche les problèmes de conformité trouvés sur votre application par rapport au STIG de sécurité et de développement d'application de la DISA, Version 6, Release 3. Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en oeuvre ces conseils dès le début du processus de développement d'application.
Récapitulatif
Le Guide d'Implémentation Technique de Sécurité pour la Sécurité des Applications et du Développement (ASD STIG) est publié en tant qu'outil pour améliorer la sécurité des systèmes d'information du Department of Defense (DoD).
Informations couvertes
La STIG de sécurité et de développement des applications est conçue pour être appliquée à toutes les applications d'entreprise connectées via le réseau. Cela inclut les applications clientes installées sur des ordinateurs de bureau qui établissent des connexions réseau avec des systèmes distants, ainsi que les applications basées sur HTML et navigateur, composées de nombreuses technologies et architectures web, y compris Java, JavaScript, .NET, Cloud, des services web basés sur RESTful et orientés SOA.
Ce guide est une exigence pour toutes les applications et systèmes d'entreprise développés, architecturés et administrés par le DoD, connectés aux réseaux du DoD. Une application d'entreprise (EA) est définie comme une application ou un logiciel utilisé par l'organisation pour aider à l'exécution des missions de l'organisation ou à atteindre les objectifs ou les tâches organisationnelles. Bien que certains EA puissent être hébergés sur un seul système avec divers degrés de redondance ou de tolérance aux pannes, beaucoup sont généralement de nature complexe, évolutifs, critiques pour la mission, et répartis sur plusieurs systèmes. Le personnel de gestion peut également choisir de désigner une application comme étant critique pour la mission et méritant le statut d'EA en fonction de leurs propres critères ou situations opérationnelles. Le STIG n'est pas destiné à être appliqué aux scripts, qu'ils soient administratifs ou autres, aux pare-feux, ou à d'autres dispositifs réseau avec des interfaces de gestion d'applications lorsqu'un STIG de produit pertinent ou un SRG technologique existe déjà. Ces exigences sont destinées à aider les responsables de programme de développement d'applications, les concepteurs/développeurs d'applications, les gestionnaires de la sécurité des systèmes d'information (ISSM), les officiers de la sécurité des systèmes d'information (ISSO) et les administrateurs système (SA) à configurer et à maintenir les contrôles de sécurité pour leurs applications.
Entités couvertes
La directive DoD (DoDI) 8500.01 exige que « tous les systèmes informatiques qui reçoivent, traitent, stockent, affichent ou transmettent des informations du DoD soient [...] configurés [...] conformément aux politiques, normes et architectures de cybersécurité applicables du DoD » et charge l'Agence des systèmes d'information de la Défense (DISA) de « développer et maintenir des identifiants de corrélation de contrôle (CCI), des guides d'exigences de sécurité (SRG), des guides de mise en œuvre technique de sécurité (STIG), et des catégories de risque de code mobile et des guides d'utilisation qui mettent en œuvre et sont conformes aux politiques, normes, architectures, contrôles de sécurité et procédures de validation de cybersécurité du DoD, avec le soutien de la NSA/CSS, en utilisant les contributions des parties prenantes, et en utilisant l'automatisation chaque fois que possible. » Ce document est fourni sous l'autorité de la directive DoDI 8500.01.
AppScanet le STIG de Sécurité et Développement des Applications
CeAppScan rapport de conformité vous aidera à comprendre et à localiser les problèmes de conformité qui peuvent exister en raison de la posture de sécurité actuelle de l'application analysée. Il utilise l'ID des exigences STIG pour faire référence aux exigences STIG. De plus, le rapport de conformité inclut le niveau de gravité des exigences du STIG, telles qu'elles apparaissent dans ce document :
- Catégorie I (CAT I) - Toute vulnérabilité dont l'exploitation entraînera directement et immédiatement une perte de Confidentialité, de Disponibilité ou d'Intégrité.
- Catégorie II (CAT II) - Toute vulnérabilité dont l'exploitation peut entraîner une perte de Confidentialité, de Disponibilité ou d'Intégrité.
- Catégorie III (CAT III) - Toute vulnérabilité dont l'existence dégrade les mesures de protection contre la perte de Confidentialité, Disponibilité ou Intégrité.
| Sections | Description |
|---|---|
| V-222425, SV-222425r508029_règle : CAT I | L'application doit appliquer les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. |
| V-222430, SV-222430r849431_règle : CAT I | L'application doit s'exécuter sans autorisations de compte excessives. |
| V-222522, SV-222522r508029_règle : CAT I | L'application doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant au nom des utilisateurs organisationnels). |
| V-222542, SV-222542r508029_règle : CAT I | L'application doit uniquement stocker des représentations cryptographiques des mots de passe. |
| V-222596, SV-222596r849486_règle : CAT I | L'application doit protéger la confidentialité et l'intégrité des informations transmises. |
| V-222601, SV-222601r849491_règle : CAT I | L'application ne doit pas stocker d'informations sensibles dans des champs cachés. |
| V-222602, SV-222602r561263_règle : CAT I | L'application doit se protéger contre les vulnérabilités de Cross-Site Scripting (XSS). |
| V-222604, SV-222604r508029_règle : CAT I | L'application doit se protéger contre l'injection de commandes. |
| V-222607, SV-222607r508029_règle : CAT I | L'application ne doit pas être vulnérable aux injections SQL. |
| V-222608, SV-222608r508029_règle : CAT I | L'application ne doit pas être vulnérable aux attaques orientées XML. |
| V-222609, SV-222609r864578_règle : CAT I | L'application ne doit pas être sujette à des vulnérabilités de traitement des entrées. |
| V-222612, SV-222612r864579_règle : CAT I | L'application ne doit pas être vulnérable aux attaques par débordement. |
| V-222662, SV-222662r864444_règle : CAT I | Les mots de passe par défaut doivent être modifiés. |
| V-222642, SV-222642r849509_règle : CAT I | Le concepteur s'assurera que l'application ne contient pas de données d'authentification intégrées. |
| V-222388, SV-222388r849416_règle : CAT II | L'application doit effacer le stockage temporaire et les cookies lorsque la session est terminée. |
| V-222391, SV-222391r849419_règle : CAT II | Les applications nécessitant une authentification d'accès utilisateur doivent offrir une fonctionnalité de déconnexion pour la session de communication initiée par l'utilisateur. |
| V-222396, SV-222396r508029_règle : CAT II | L'application doit implémenter un chiffrement approuvé par le DoD pour protéger la confidentialité des sessions d'accès à distance. |
| V-222397, SV-222397r508029_règle : CAT II | L'application doit implémenter des mécanismes cryptographiques pour protéger l'intégrité des sessions d'accès à distance. |
| V-222406, SV-222406r508029_règle : CAT II | L'application doit s'assurer que les messages sont chiffrés lorsque le SessionIndex est lié à des données privées. |
| V-222429, SV-222429r849430_règle : CAT II | L'application doit empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, y compris désactiver, contourner ou modifier les dispositifs de sécurité/contre-mesures mis en œuvre. |
| V-222513, SV-222513r864575_règle : CAT II | L'application doit avoir la capacité d'empêcher l'installation de correctifs, de packs de service ou de composants d'application sans vérification que le composant logiciel a été signé numériquement à l'aide d'un certificat reconnu et approuvé par l'organisation. |
| V-222515, SV-222515r508029_règle : CAT II | Une évaluation des vulnérabilités de l'application doit être réalisée. |
| V-222517, SV-222517r849455_règle : CAT II | L'application doit utiliser une politique de refus par défaut, autorisation par exception (liste d'autorisation) pour permettre l'exécution des programmes logiciels autorisés. |
| V-222518, SV-222518r508029_règle : CAT II | L'application doit être configurée pour désactiver les capacités non essentielles. |
| V-222523, SV-222523r508029_règle : CAT II | L'application doit utiliser l'authentification multifactorielle (Alt. Authentification par jeton pour l'accès réseau aux comptes privilégiés. |
| V-222524, SV-222524r849458_règle : CAT II | L'application doit accepter les justificatifs de vérification d'identité personnelle (PIV). |
| V-222525, SV-222525r849459_règle : CAT II | L'application doit vérifier électroniquement les justificatifs de vérification d'identité personnelle (PIV). |
| V-222576, SV-222576r508029_règle : CAT II | L'application doit activer le drapeau sécurisé sur les cookies de session. |
| V-222577, SV-222577r508029_règle : CAT II | L'application ne doit pas exposer les identifiants de session. |
| V-222579, SV-222579r508029_rule: CAT II | Les applications doivent utiliser des identifiants de session générés par le système qui protègent contre la fixation de session. |
| V-222581, SV-222581r508029_règle : CAT II | Les applications ne doivent pas utiliser d'ID de session intégrés dans l'URL. |
| V-222582, SV-222582r508029_règle : CAT II | L'application ne doit pas réutiliser ni recycler les identifiants de session. |
| V-222593, SV-222593r864576_règle : CAT II | Les applications basées sur XML doivent atténuer les attaques par déni de service (DoS) en utilisant des filtres XML, des options de parseur ou des passerelles. |
| V-222594, SV-222594r561257_règle : CAT II | L'application doit restreindre la capacité de lancer des attaques par déni de service (DoS) contre elle-même ou d'autres systèmes d'information. |
| V-222600, SV-222600r849490_règle : CAT II | L'application ne doit pas divulguer d'informations superflues aux utilisateurs. |
| V-222603, SV-222603r508029_règle : CAT II | L'application doit se protéger contre les vulnérabilités de falsification de requête intersite (CSRF). |
| V-222606, SV-222606r508029_règle : CAT II | L'application doit valider toutes les saisies. |
| V-222610, SV-222610r508029_règle : CAT II | L'application doit générer des messages d'erreur qui fournissent les informations nécessaires pour des actions correctives sans divulguer d'informations pouvant être exploitées par des adversaires. |
| V-222614, SV-222614r849497_règle : CAT II | Les mises à jour et correctifs logiciels liés à la sécurité doivent être régulièrement actualisés. |
| V-222642, SV-222642r508029_règle : CAT II | L'application ne doit pas contenir de données d'authentification intégrées. |
| V-222656, SV-222656r864438_règle : CAT II | L'application ne doit pas être sujette à des vulnérabilités dans la gestion des erreurs. |
| V-222667, SV-222667r864449_règle : CAT II | Des protections contre les attaques par déni de service doivent être mises en œuvre. |
Informations connexes
Pour en savoir plus sur le STIG de sécurité des applications et de développement du DoD, visitez : Guides de mise en œuvre technique de la sécurité (STIGs) – DoD Cyber Exchange