View
591
Download
1
Category
Preview:
Citation preview
Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Simplifiez la sécurisation de vos données par chiffrement transparentFabien Jacquier – Kyos
Restreinte
1.0
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Implanté à Genève depuis novembre 2002
• Fusion par absorption avec la société Spacecom, spécialiste réseau, en juin 2013
• Entreprise à taille humaine : 3 associés + 25 employés
• Des valeurs communes :‒ Sens du service
‒ Ethique
‒ Simplicité
• Société autofinancée et indépendante
• Une signature : « embedded security »
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
2
Expert sécurité, réseau et services informatiques
Agenda
La problématique de la protection des donnéesFabien JACQUIER - Kyos
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
29.10.20153
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos SARL
L’attaque de TalkTalk29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
4
Kyos SARL
Quelles données ont été accédées ?29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
5
• Nom
• Adresse
• Date de naissance
• Numéros de téléphones
• Détails du compte TalkTalk
• Données de carte de credit
• Données de compte bancaire
• Mots de passe ?
Kyos SARL
La législation anglaise29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
6
Kyos SARL
Payment Card Industry (PCI) Data Security Standard v3.0
Requirement 3: Protect stored cardholder data – 3.4Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
• One-way hashes based on strong cryptography, (hash must be of the entire PAN)
• Truncation (hashing cannot be used to replace the truncated segment of PAN)
• Index tokens and pads (pads must be securely stored)
• Strong cryptography with associated key-management processes and procedures.
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
7
Eradication
Obfuscation
Chiffrement
Kyos SARL
Appendix 3 to the FINMA Circular 2008/21
Principle 3: Location and access to dataArchiving and accessing data from abroad
Should CID be archived outside of Switzerland or if it can be accessed from abroad, the institution must adequately mitigate the increased risks with respect to client data protection. CID must be adequately protected (e.g. anonymized, encrypted or pseudonymized).
Principle 4: Security standards for infrastructure and technologyIn order to ensure the confidentiality of CID, institutions must evaluate protective measures (e.g. encryptions) and if necessary, implement these at the following levels:
• Security of CID on devices or end points (e.g. PCs, notebooks, portable data storage and mobile devices);
• Security during the transfer of CID (e.g. within a network or between various locations);
• Security of stored CID (e.g. on servers, databases or backup media).
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
8
Kyos SARL
Les précautions à l’implémentation de chiffrement
• Complexité de la gestion et du stockage des clés de chiffrement
• Complexité du chiffrement de BDD avec plusieurs instances utilisant les même clés
• Lenteur et perte de performance• Besoin de modification des systèmes
existants• Déploiement d’un agent sur les
postes clients• Contraintes d’administration• Contraintes pour l’utilisateur
• Risque de perte des clés• Peur de perdre les données suite à
une mauvaise manipulation• Les données restent accessibles au
moment où elles sont déchiffrées / utilisées
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
9
Expert sécurité, réseau et services informatiques
AgendaProtégez vos fichiers, applications, bases de données et sauvegardes par le chiffrement transparent de VormetricMichael Loger - Vormetric
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
29.10.201510
Simplifiez la sécurisation de vos données par chiffrement transparent
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Vormetric Data Security
Frank Weisel - RSD DACH
Michael Loger - Sen. SE DACH
Vormetric, Inc.
10/2015
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityWhat we need!
Availability
Integrity
Confidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityConfidentiality = Need to know principle
IntegrityConfidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityConfidentiality = Need to know principle
IntegrityConfidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?
= Need to Know principle
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?
= Need to Know principle
Appendix 3 to the FINMA Circular
2008/21
PCI-DSS
BDSG
SOX
HIPAA
GLBA
BASEL II Accord
EURO-SOX
FDA Title 21 CFR Part 11
95/46/EC EU Directive
PIPEEDAUK DPA
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Copyright 2014 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
Vormetric Platform and Products
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
<1%
94%
Serverslaptops
Servers
2012 DATA BREACH INVESTIGATION REPORT
Records Compromised
Records Compromised
Data Is The Target …Server Data = Biggest Target
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
of breaches are reported by third parties
median number of days advanced attackers are on the network before being detected Data = Money
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
of breaches are reported by third parties
• Encryption• Manage Key’s
• Manage Policy’s
• Audit Access
• Strong (AES 256)
• Transparent (MetaClear™, US Pat)
Available as:
- Virtual Appliance
- Physical Appliance (FIPS 140-2 Level 2 Certified)
- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)
Vormetric Data Security Manager (DSM)29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
File System Agents for:
- AIX- HPUX- Solaris- OEL- Red Hat- SUSE- Ubuntu- Windowshes are
reported by third parties• Encryption• Manage Key’s
• Manage Policy’s
• Audit Access
• Strong (AES 256)
• Transparent (Meta Data Clear, US Pat)
Available as:
- Virtual Appliance
- Physical Appliance (FIPS 140-2 Level 2 Certified)
- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)
Vormetric Data Security Manager (DSM)29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
Vormetric Data Security PlatformSingle Platform– Multiple Solutions
Vormetric Transparent Encryption
Unstructured Files
StructuredDatabases
Big Data
Physical
Vormetric Data Security Manager
VMVirtual
• Key and Policy Manager
or
Vormetric Key Management
• KMIP Compliant• Oracle and SQL Server TDE• Certificate Management• Object Store, e.g. passwords
VormetricSecurity Intelligence
• Splunk• HP ArcSight• IBM QRadar• LogRhythm
Environment Support
Public Cloud
Private Cloud
Hybrid
Data Centers
• File and Volume Level Encryption• Access Control
Name: Jon Dough
SS: if030jcl
PO: Jan395-2014
VormetricApplication Encryption
Data at RestCloud
Apps
Big Data
• Flexible – Environment& Field Encryption
VormetricTokenisation & Datamasking
• Tokenisation• Datamasking
Cloud-Gateway
• Box• S3• OneDrive• …
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric Making Encryption Efficient
2% overhead at 70%
system utilization
4% at 100%
Benefits
•More CPU cycles for work
•More applications
•More data protection
•MS SQL TDE is 28%
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
10/29/201520
MetaClear™ Encryption – Vormetric Patent (US 6678828 B1)
Name: J Smith
Credit Card #:
6011579389213
Exp Date: 04/04
Bal: $5,145,789
Social Sec No:
514-73-8970
Name: Jsmith.doc
Created: 6/4/99
Rights: 40755
Clear Text
File Data
File System
Metadata
dfjdNk%(Amg
8nGmwlNskd 9f
Nd&9Dm*Ndd
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
Name: Jsmith.doc
Created: 6/4/99
Rights: 40755
MetaClear
Encryption
Block-Level
Encryption
fAiwD7nb$
Nkxchsu j2
3nSJis*jmSL
dfjdNk%(Amg
8nGmwlNskd 9f
Nd&9Dm*Ndd
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
Secure confidential Information without affecting Data Management
High-Performance Encryption (AES NI)
Privileged User can work as before, but can’t read confidential Data.
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
10/29/201521
Empower Data security with more Security layers
Secure
• Encryption
• AES 256
• 3DES
• RSA 4096
• ARIA 256
Authorize User
• Authorize Authentication Path
• Define if it is
• Full Authorized
• Denied
• Only see metadata
Authorize Process
• Authorize Name
• Authorize Path
• Authorize Signature
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
22
Controlling only the User is not enough!
Limit Daemon/Service user to processes they should use
Detect and prevent SU/SUDO Access
Prevent misuses of Service Accounts
User Authorized User
Privileged User
UnauthorizedUser
Daemon/ServiceUser
Process ALL Only Admin Tools
ALL Daemon Process
See File and File Meta Data
De/Encrypt File
Result See File and Content of the File
See File, can’t read Content
Can’t see File or access content
See File and Content of the File
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015Vormetric SolutionFirewall Your Data
IssueData is exposed to the
environment where it resides
Vormetric Solution Vormetric Policy ≈ Firewall Rules
Criteria and Effect-based
# User Process Action Effects
1 MSSQL MSSQLServer any permit, apply key
2 root admin_tools read permit, audit
3 any any any deny, audit
23
Copyright 2013 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015Vormetric SolutionFirewall Your Data
24
Copyright 2013 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
Policy Key Target Protected
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015Vormetric Data Encryption
WebLogicIIS Apache
Custom AppsERP CRM CMSPayments
Copyright © 2010 Vormetric, Inc. - Proprietary and Confidential. All Rights Reserved.25
“Future scalability to apply this solution where additional
needs may arise was a significant consideration”
- Thomas Doughty, CISO, Prudential • Log files• Password files• Configuration files• Archive
• Log files• Password files• Configuration files• Archive
• Data files• Transaction logs• Exports• Backup
• File shares• Archive• Content repositories• Multi-media
DB2 Oracle MySQLSybaseSQL
OthersFile Servers FTP Servers Email Servers
CLOUD
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
Data at RestEncryption
Vormetric Full Disk Encryption& SED*1
Container basedEncryption
File FolderEncryption
TDE (Database Only)
Protect switched off State
Protect running System
Prevent Privileged User
SoD (*2)
Prevent unauthorizedProcesses n/a
Prevent misuse of an Account n/a
Detect SU/SUDO (*2)n/a
Allow User Access to File without giving Access to content
n/a
Encrypt Backup on any Solution
*1 SED= Self Encrypting Drives
*2 Under normal circumstances Container contains authorization outside OS Level user management
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015Data Security has to be Simple
TransparentTransparent to Business Process
Transparent to Apps / Users
Neutral Data Type
StrongFirewall Your Data
Protect Privileged User Access
Restrict Users and Apps
EasyEasy to Implement
Easy to Manage
Easy to Understand
EfficientMinimal Performance Impact
Rational SLAs
Multiple Environments Perform
TRANSPARENT STRONG
EASY EFFICIENT
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
World-Class Brands Rely on Vormetric for Advanced Data-Centric Security Solutions
Copyright 2014 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
Expert sécurité, réseau et services informatiques
Agenda
Démonstrationavec simulation d’attaqueMartino Dell’Ambrogio - Kyos
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
29.10.201539
Simplifiez la sécurisation de vos données par chiffrement transparent
Expert sécurité, réseau et services informatiques
Kyos SARL
Vormetric Data Security Management (DSM)Introduction à la démonstration
Simplifiez la sécurisation de vos données par chiffrement transparent
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Kyos SARL
Un serveur applicatif et sa base de données29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
41
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Vo
rmet
ric
Dat
a Se
curi
ty M
anag
emen
t
Apache MySQL
Fichiers Fichiers
Kyos SARL
Les consommateurs et leurs accès29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
42
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Vo
rmet
ric
Dat
a Se
curi
ty M
anag
emen
t
Apache MySQL
Fichiers Fichiers
Usage
Gestion
Client
Système
DBA
Déploiement
Backup
Audit
Kyos SARL
Exemple d’attaque RCE (Remote Command Execution)
1. Un attaquant exploite une faille PHP pour exécuter du code
2. Dans les fichiers d’Apache il lit les données d’accès MySQL
3. Grâce à cet accès il peut exfiltrer toues les données
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
43
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Vo
rmet
ric
Dat
a Se
curi
ty M
anag
emen
t
Apache MySQL
Fichiers Fichiers
Usage Client
Kyos SARL
La solution Vormetric29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
44
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Vo
rmet
ric
Dat
a Se
curi
ty M
anag
emen
t
Apache MySQL
Fichiers Fichiers
Usage
Gestion
Client
Système
DBA
Déploiement
Backup
AuditDSM
Agent FS
Expert sécurité, réseau et services informatiques
Kyos SARL
Passons à la pratique
Simplifiez la sécurisation de vos données par chiffrement transparent
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Kyos SARL
4 étapes
1- Afficher la configuration
DSM pour Apache
2- Tenter d’exploiter une faille RCE pour
exfiltrer les données
3- Appliquer une
configuration permissive
4- Retenter
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
46
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Pass
on
sà
la p
rati
qu
e
Kyos SARL
GO29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
47
Dém
on
stra
tio
nav
ec s
imu
lati
on
d’a
ttaq
ue
Pass
on
sà
la p
rati
qu
e
Expert sécurité, réseau et services informatiques
Agenda
Discussion ouverte
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
Simplifiez la sécurisation de vos données par chiffrement transparent
29.10.201548
Kyos SARL
Rien ne vaut d’être parmi nous pour partager ses expériences…
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Avenue Rosemont, 12 bis1208 Genève
Tel. : +41 22 566 76 30Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci
Simplifiez la sécurisation de vos données par chiffrement transparent
Recommended