@nbs_system
@nbs_system
Darwinisme Digital
@nbs_system
@nbs_system
Groupe OTCollaborateurs,
dont 90 ingénieurs,présent dans 5
pays
Serveurs infogérés (privé/aws/azure)
CA 2016
OT Group
en chiffres
150
1000
5000
23 M€
Clients utilisent nos services
Your digital security partners
@nbs_system
SecOPS
DevOPS
Infogérance24x7Architecture
& expertise
Cerberhost17 couches de sécuritéLa sécurité à 99.9%
Groupe OT
@nbs_system
Etat des lieux
@nbs_system
Le trafic Web d’origine non
humaine
61%
Fois par jour : le nombre de scan d’une IP sur
Internet
50
Nombre d’attaques sur la couche Web par an
5 000 000 000
Des compromissions profondes partent de la couche web
70%
Quelques chiffres
@nbs_system
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps• 5.5 Gbps : la taille moyenne d’une DDoS
DDoS
@nbs_system
Secondes Minutes Heures Jours Semaines Mois Années
Temps entre le lancement de
l’attaque et l’intrusion
Temps avant exfiltration de
données
11% 82% 6% <1% <1% <1% 0%
7% 20% 2.5% 68% <1% <1% 0%
Temps entre la compromission et la détection 0% 0% 0% 27% 24% 39% 9%
. . .
...
..
État des lieux
@nbs_systemSource : Verizon Databreach report 2016
Le retail pour cible
@nbs_system
Le retail pour cible
Source : Akamai state of internet 2016 Q4
Le black Friday a été particulièrement visé par les hackers.
Nov. 24–29, 2016
@nbs_system
Sour
ce :
Akam
ai st
ate
of in
tern
et 2
016
Q4
• 4500 attaques / jour• 40% des attaques SQL• 64% du trafic
malicieux• $ 7M : le coût moyen
d’un vol de données
RETAIL :
Le retail pour cible
@nbs_system
Le retail pour cible
Darwinisme digital :
«Ceux qui adaptent leur sécurité à leurs enjeux
survivent.»
@nbs_system
Types d’attaques
@nbs_system
Défendez vous, car vous ne retrouverez jamais les pirates
@nbs_system
Attaques ciblées vs opportunistes
95%Opportuniste
s 5%Ciblées
Faille détectée par un scanner Web, exploitable automatiquement en
quelques secondes, en général une faille d’un framework utilisé sur le site
InacceptablesAttaque potentiellement sur toute la
surface exposée du client, par de multiples vecteurs, incluant de l’ingénierie sociale au besoin.
Dangereuses
$
$
@nbs_system
Attaques opportunistes
Scan du 0/0 Aspiration des bannières22/80/443 Attente d’une vulnérabilité
Stockage en base de données
Vulnérabilitédécouverte Déploiement de
la vulnérabilité
$Vol de données
& produits Monétisation
@nbs_system
Attaques ciblées
Reconnaissance de la cible
Choix d’un vecteur d’attaque
$Monétisation Compromission
Etape 1 Etape 2 Etape 3 Etape 4
@nbs_system
DDoS
$Monétisation
Etape 1 Etape 2 Etape 3 Etape 4 Etape 5
@nbs_system
Nous devons donc nous défendre contre :
1
2DDoS Attaque
s ciblées
Attaques opportunist
es
3
@nbs_system
Solutions
@nbs_system
En résumé
• Les attaques ciblées sont coûteuses pour l’attaquant• Les attaques opportunistes sont simples et répétitives• Les DDoS sont une compétition de moyens, court terme
• Faire comprendre à l’attaquant que ca ne sera pas rentable• Bloquer les attaques triviales avec des outils systématiques• Montrer que l’on a plus de moyens
Nous devons donc :
@nbs_system
• Un budget énorme (500 M$)
• On empile les technologies
• On monitore• On se fait plomber
L’approche « JP Morgan »
@nbs_system
Le logarithme de la sécurité
€0%
99%
90%
99.9%
75%
50%
10 K€ 20 K€ 50 K€ 100 K€ 1 M€
@nbs_system
Le paradoxe du Fire « hole »
HTTP
HTTPS
HTTP(s)Attaques
horsHTTP(
s)Attaques sur
Filtrées par le firewall
5% 95%
Non filtrées par le firewall
@nbs_system
Code
Des dispositifs coopérants
DLPWAF Noyaux & App
Anti (d)Dos
ProtectionsApplicatives
FirewallDynamique
@nbs_system
Code
Une chaine complète
Sécuritéà 99%
HumainsSensibilisation des collaborateurs
Formation des administrateursFormation des développeursVeille sécurité & procédures
Code sourceAudit de code sourceContrôle continu des vulnérabilités
RéseauAnti DDoS
Anti DoSAnti Application level DoS
Vlan isolés
InfrastructureTests d’intrusionsDurcissement des noyaux Durcissement des configs & stacks applicativesWAF, Firewall dynamique, DLP, etc.
@nbs_system
Les budgets
@nbs_system
Montez la barre
• Politique de mots de passe forts• Changement régulier des mots de passe• Lecture des supports ANSSI• Lecture du livre blanc de la Fevad• Chiffrement des disques• Formation / sensibilisation Sécurité
Gratuit
@nbs_system
Montez la barre
• Audit de configuration• Déploiement d’anti virus / malware• Configuration d’un WAF Opensource• Chiffrement SSL (mail / http)• Test de sécurité automatisés
10 000 € / an
@nbs_system
Montez la barre
• Hébergement sécurisé• Test d’intrusion• Audit de code source• Firewall & configuration de sécurité• Installation d’un WAF sur mesure• Composants de sécurité• PSSI
50 000 € / an
@nbs_system
Montez la barre
• Hébergement haute sécurité PCI/DSS• Supervision continue (SoC)• Veille sur les failles émergentes• Virtual patching• 2 Factor authentication• Backup haute fréquence
100 000 € / an
@nbs_system
Montez la barre
• Sécurité pro active avec revues quotidienne• SecOPS / SoC externalisé• Test d’intrusion réguliers• Audit de code différentiels à chaque MàJ• Environnements dupliqués en PCA/PRA• Backup déportés à haute fréquence
> 250 000 €
@nbs_system
Code
Notre solution
HardwareOperating system
NetworkApplicative stack
DatabaseWebsite
Humans
Motivating wagesEquipe SOCSecurity trainingsBackground checks
N.A.X.S.I (WAF)ReqLimit (Anti applicative DoS)ExecVE killerFile Upload checkerSnuffleupagusApp scanThreadfix virtual patching
MySQL InterceptorSnuffleupagus
SnuffleupagusDaemon hardening
Anti DDoSIsolated VlansFirewalling dynamic
PAXGrSecWatch FolderPHP Malware finder
Redundant hardwareRedundant datacentersRedundant data storageRedundant telecom uplinks
Dynamic Firewall