Comment détecter et bloquer les
visiteurs web malveillants ?
Stéphane REYTAN
sreytan@randco.fr
RANDCO , Conseil en Infra IT
MassFilter.Me , Service de protection anti-DDoS
Les menaces
Piratage opportuniste
Vandalisme, Hacktivisme
Attaque ciblée et sophistiquée
Cybercriminalité (Rançonnage, Cha...
Typologie des attaques Web
SQL Injection, XSS, RFI/LFI,...
Déni de Service (DDoS)
Web Scrapping
En cas de mutualisation / ...
“La sécurité n’est pas un produit...
c’est un processus.”
BRUCE SCHNEIER
Security Guru
Comment les détecter ?
. Activer les logs
. Sceller et stocker les logs
. Traiter automatiquement les logs
. Identifier et...
1. Activer les logs
Au niveau des firewalls, des serveurs Web,
des applications, des bases de données,
des systèmes d’expl...
2. Stocker et sceller les logs
Stocker hors d’atteinte des pirates
Adapter le type de stockage à vos
besoins/contraintes
#MYTHE
“ Stocker les logs suffit.
Je les traiterai lorsque j’aurai (détecté) un
incident.”
“Ce n'est pas la fin. Ce n'est même pas le
commencement de la fin. Mais, c'est peut-être la
fin du commencement.”
WINSTON ...
3. Traiter automatiquement les logs
Grâce à des règles métiers,
générer des tableaux de bord
#Conseil Choisir un outil per...
.taille des logs (plancher et plafond),
.referrer (URL de provenance),
.user-agent (signature du navigateur),
.taux d’erre...
4. Identifier et Alerter
Identifier les anomalies et alerter
Par un processus d’amélioration continue,
affiner le traiteme...
Exemples
Fig. 1 Fig. 2
Fig. 3
5. Comment les bloquer ?
developpement sécurisé + pentest,
idéalement Web Application Firewall (WAF),
protections anti-ddo...
#Conseil
Ne pas se précipiter
sur un outil (onéreux)
Découvrez par itérations rapides
vos réels besoins.
#Conseil
Ne ré-inventez pas la roue.
De nombreux outils
commerciaux et libres existent.
Le Cloud permet d’expérimenter,
de...
< votre constructeur
de FW et/ou WAF favori >
#Analyser#Stocker
6. Outils et solutions
#Bloquer
#Conclusion
C’est une affaire de spécialistes MAIS vous seul
pouvez conduire ce processus continu.
Les traitements mis en ...
Prochain SlideShare
Chargement dans…5
×

Comment détecter et bloquer les visiteurs malveillants ?

426 vues

Publié le

Cyber-criminels , hackers, concurrents : ils ralentissent votre site web mais ne commanderont jamais vos services et produits !

Dans cette présentation nous indiquons les bonnes pratiques (et pièges à éviter) afin de rentrer dans un cercle vertueux detection/protection.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
426
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Comment détecter et bloquer les visiteurs malveillants ?

  1. 1. Comment détecter et bloquer les visiteurs web malveillants ?
  2. 2. Stéphane REYTAN sreytan@randco.fr RANDCO , Conseil en Infra IT MassFilter.Me , Service de protection anti-DDoS
  3. 3. Les menaces Piratage opportuniste Vandalisme, Hacktivisme Attaque ciblée et sophistiquée Cybercriminalité (Rançonnage, Chantage) Pratiques concurrentielles déloyales
  4. 4. Typologie des attaques Web SQL Injection, XSS, RFI/LFI,... Déni de Service (DDoS) Web Scrapping En cas de mutualisation / multi-tenant , vous serez impacté collatéralement par l’attaque de votre voisin...
  5. 5. “La sécurité n’est pas un produit... c’est un processus.” BRUCE SCHNEIER Security Guru
  6. 6. Comment les détecter ? . Activer les logs . Sceller et stocker les logs . Traiter automatiquement les logs . Identifier et Alerter . Améliorer les protections
  7. 7. 1. Activer les logs Au niveau des firewalls, des serveurs Web, des applications, des bases de données, des systèmes d’exploitation... “ les logs par défaut suffisent ” “ a posteriori, on pourra facilement croiser les logs de sources différentes ” MYTHE #1 MYTHE #2
  8. 8. 2. Stocker et sceller les logs Stocker hors d’atteinte des pirates Adapter le type de stockage à vos besoins/contraintes
  9. 9. #MYTHE “ Stocker les logs suffit. Je les traiterai lorsque j’aurai (détecté) un incident.”
  10. 10. “Ce n'est pas la fin. Ce n'est même pas le commencement de la fin. Mais, c'est peut-être la fin du commencement.” WINSTON CHURCHILL
  11. 11. 3. Traiter automatiquement les logs Grâce à des règles métiers, générer des tableaux de bord #Conseil Choisir un outil permettant de visualiser la dimension temporelle #Mythe Un outil aura connaissance par “magie” de mon contexte
  12. 12. .taille des logs (plancher et plafond), .referrer (URL de provenance), .user-agent (signature du navigateur), .taux d’erreurs, .durée de génération des pages, .répartition des méthodes HTTP, .débit des requetes, . ... Quelques idées d’indicateurs à surveiller
  13. 13. 4. Identifier et Alerter Identifier les anomalies et alerter Par un processus d’amélioration continue, affiner le traitement de vos données #Mythe Un unique indicateur suffit à détecter les malveillants
  14. 14. Exemples Fig. 1 Fig. 2 Fig. 3
  15. 15. 5. Comment les bloquer ? developpement sécurisé + pentest, idéalement Web Application Firewall (WAF), protections anti-ddos + geoblocking + rate limiting + IP blacklisting + challenges JavaScript + ...
  16. 16. #Conseil Ne pas se précipiter sur un outil (onéreux) Découvrez par itérations rapides vos réels besoins.
  17. 17. #Conseil Ne ré-inventez pas la roue. De nombreux outils commerciaux et libres existent. Le Cloud permet d’expérimenter, de déployer rapidement et de ne payer qu’à l’usage.
  18. 18. < votre constructeur de FW et/ou WAF favori > #Analyser#Stocker 6. Outils et solutions #Bloquer
  19. 19. #Conclusion C’est une affaire de spécialistes MAIS vous seul pouvez conduire ce processus continu. Les traitements mis en oeuvre peuvent servir à la connaissance client, Business Intelligence, Détection de Fraude… RANDCO est là pour vous accompagner.

×