Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
3. Où en est on ?
Le trafic Web
d’origine non
humaine
61%
Fois par jour : le
nombre de scan d’une
IP sur Internet
50
Nombre d’attaques sur
la couche Web par an
5 000 000 000
Des compromissions
profondes partent de
la couche web
70%
3
4. Faire du neuf avec…
Les « classes » d’attaques n’ont pas réellement évolué
19941990
1996
1990
1996 2005
1974
1997
4
5. Alors pourquoi cette accélération ?
SURFACE !
Internet = 400 millions
d’utilisateurs
Internet = 4 millards
d’utilisateurs
2000 2017
5
6. Alors pourquoi cette accélération ?
DIFFICULTÉ !
• Overflow : des mois de R&D très complexe
• XSS / SQLi : quelques heures sur youtube
• Les outils sont là, connus, gratuits, tout comme les
tutos.
(Kali, Aircrack, Metasploit, etc.)
Et une génération “Digital Born” pour les utiliser.
6
7. Automatisation !
Alors pourquoi cette accélération ?
Secondes Minutes Heures Jours Semaines Mois Années
Temps entre le
lancement de
l’attaque et
l’intrusion
Temps avant
exfiltration de
données
11% 82% 6% <1% <1% <1% 0%
7% 20% 2.5% 68% <1% <1% 0%
Temps entre la
compromission
et la détection
0% 0% 0% 27% 24% 39% 9%
. . .
...
..
7
8. Ciblé vs Opportuniste
6
95%
Opportunistes
5%
Ciblées
Faille détectée par un scanner Web,
exploitable automatiquement en
quelques secondes, en général une
faille d’un framework utilisé sur le
site
Inacceptables
Attaque potentiellement sur toute
la surface exposée du client, par
de multiples vecteurs, incluant
de l’ingénierie sociale au besoin.
Dangereuses
$
$
8
9. The Fire « hole »
HTTP(s)
Attaques hors
HTTP(s)
Attaques sur
Filtrées
par le
firewall
5% 95%
Non filtrées
par le firewall
9
10. Où en est on ?
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
Source : Digital attack map by Arbor networks
10
11. Où en est on ?
Qu’est ce qui mène à une perte de données sensibles ?
Source : Verizon Databreach report 2016
11
13. Le cloud « privé » :
modèle de déploiement dans lequel les services de cloud sont utilisés
exclusivement par un seul client, qui en contrôle les ressources.
Un cloud privé peut être mis en œuvre soit par l’organisation à laquelle
appartient le client soit par un prestataire externe. Un cloud privé a
vocation à borner précisément ses limites et à restreindre l’accès à
ses services à une organisation unique.
Quels sont les bénéfices du cloud ?
Source : http://siaf.hypotheses.org/656
AWS
13
14. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
14
15. Ce que nous faisons pour vous
Sécurité DANS le cloud : GÉRÉ PAR NBS SYSTEM
Sécurité DU cloud : GÉRÉ PAR AWS
15
17. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
Les clients contrôlent leur
contenu, les salariés AWS ne
sont pas autorisés à y accéder
Vous choisissez la Région où
vous stockez vos données,
AWS ne les déplace pas
AWS propose des « instances
dédiées » physiquement
isolées
17
18. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
18
19. Comment concilier sécurité et agilité ?
DevSecOps
Page 3 of 433
• Comité ?
• Procédures ?
• Check-lists ?
“Security as code”
19
21. Protection native contre la plupart des DDoS
• 82 PoP CloudFront / Route53
• Filtrage natif de la plupart des
attaques volumétriques
• AWS WAF bloque dynamiquement
les requêtes illégitimes
• AWS Shield Advanced
Source: Arbor Networks
21
22. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
DevSecOps : automatisation de
la sécurité
Tous les services AWS seront
conformes au règlement RGPD
lorsque celui-ci entrera en
vigueur, le 25 mai 2018
AWS propose AWS Shield, un
service de protection DDoS,
sans frais supplémentaire
22
27. Deux partenaires, un seul but : votre sécurité !
• La sécurité DU cloud
• Modèle de responsabilité partagée
• Haute disponiblité
• La sécurité DANS le cloud
• OS
• Application
• Sécurité managée
27
28. Ce que NBS System sécurise pour vous
• Système d’exploitation (OS)
• Noyaux
• Daemons & tools (Apache, MySQL, etc.)
• Langages (Php, Python, Java, Go, etc.)
• Accès privilégiés (BO, SSH, …)
• Frameworks (Drupal, Wordpress, etc.)
• Developpement custom
• Flux entrants/sortants
28
29. Cerberhost est conçu pour éconduire l’attaquant, en lui faisant
comprendre que son attaque ne sera pas rentable, en termes de
temps comme de coût.
• 14 procédures humaines durcissent l’ensemble
• 37 protections techniques le bloquent
• 1 d’entre elles lui fait perdre un temps considérable :
le firewall dynamique
Une autre approche : ralentir, compliquer
29
30. • H + 02 = H20. L’eau a des propriétés émergentes supérieures à
celles de l’hydrogène et de l’oxygène
• Cerberhost est conçu dans la même approche, avec des
propriétés émergentes, provenant du travail commun de
nombreuses couches articulées entres elles.
Quand la somme fait plus que ses unités
30
42. Démonstration AWS
Encryption with KMS
42
Cleartext
Storage of
encrypted data
Customer
Key
Ciphertext
Encrypted Data
Key
Hardware/
software
Symmetric
Data Key
Hardened HSA designed
so that no individual can
access master key.
Import
Token
Public Key
Customer
premises
or
CloudHSM
Master Key
44. Démonstration AWS
AWS CloudHSM / nouvelle version
44
Service opéré: installation, mises à jour, sauvegardes
Pas de paiement initial, à l’usage, ex: $1.47 / heure (eu-west-1)
Certifié FIPS 140-2 niveau 3
Portabilité des clefs et compatibilité avec les DSK classiques: PKCS
#11, Java Cryptography Extension, OpenSSL…
AWS
CloudHSM
47. Leur besoin :
• PCI/DSS V3 L1
• Worldwide
• Déploiement en 1 an
Notre réponse :
• Infrastructures UE : NBS System
• Infrastructures mondiales : AWS
• Même niveau de sécurité
• Mise en très haute sécurité + PCI-DSS de plus de 100
serveurs en 1 an
Brady Corp (NYSE:BRC)
47
48. … pour beaucoup plus
de sécurité !
48
Quelques habitudes à
changer...
49. Changer quelques habitudes…
Sans pour autant faire passer la sécurité avant le business :
• Être plus précis dans les procédures de publication
• Plus de mots de passe faibles
• Communications chiffrées des éléments sensibles
• Principe de moindre privilège
• Filtrage des IP entrantes et sortantes
49
50. Il faut disposer :
• de beaucoup de temps
• de beaucoup de ressources
• d’énormément de savoir-faire technique
pour espérer compromettre un serveur CerberHost sur AWS.
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemard pour les attaquants, afin de les dissuader.
… et nous augmenterons la difficulté pour
l’attaquant
50