Swiss Grade Security - 3 octobre 2017 - Lausanne Net4All propose, avec CerberHost, une autre approche de la sécurité. Il est impossible de sécuriser son site web à 100%, d’autant plus que les moyens à investir pour une sécurité absolue sont trop importants pour la majorité des entreprises. L’objectif est plutôt d’identifier les risques et de mettre en place des protections adaptées permettant de dissuader le pirate, en général en rendant l’attaque tellement coûteuse qu’elle ne sera pas rentable pour lui. C’est ce que propose CerberHost, avec une philosophie collaborative alliant protections techniques et expertise humaine.

1. Net4All
Présentation de CerberHost, nouvelle solution de
Cloud sécurisé

2. Eviter les erreurs du passé
1
• La sécurité d’abord
• La sécurité absolue
• La sécurité couteuse
• La sécurité aveugle

3. Une autre approche
2
• Les méthodes d’attaque :
– Les attaques ciblées sont coûteuses pour l’attaquant
– Les attaques opportunistes sont simples et répétitives
– Les DDoS sont une compétition de moyens et court terme
• Nous devons donc :
– Faire comprendre à l’attaquant que cela ne sera pas rentable
– Bloquer les attaques triviales avec des outils systématiques
– Montrer que l’on a plus de moyens

4. Une autre approche
1
2
DDoS
Attaques
ciblées
Attaques
opportunistes
3
3

5. Le coût de la sécurité
€0%
99%
90%
99.9%
75%
50%
10 K€ 20 K€ 50 K€ 100 K€ 1 M€
4

6. Il suffit de changer quelques habitudes
5
• Sans pour autant faire passer la sécurité avant le
business
– Être plus précis dans les procédures de publication
– Plus de mots de passe faibles
– Communications chiffrées des éléments sensibles
– Pas d’accès root
– Filtrage des IP entrantes et sortantes

7. Augmenter la difficulté pour l’attaquant
6
• Il faut disposer de :
– beaucoup de temps
– beaucoup de ressources
– d’énormément de savoir faire technique
• Pour espérer compromettre un serveur CerberHost
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemar pour les attaquants, afin de les dissuader.

8. The Fire « hole »
HTTP(s)
Attaques hors
HTTP(s)
Attaques sur
Filtrées par le firewall
5% 95%
Non filtrées par le firewall
7

9. CerberHost
8

10. CerberHost
9

11. CerberHost
10
38
protections techniques qui
collaborent entre elles
procédures
humaines
14
Années d’expérience
4
Années de R&D
5
180 000
En moyenne, nombre de
règles dans le firewall
dynamique

12. Cas d’usage et d’attaque
11
• Un attaquant lance un scanner de ports sur la machine
• Au bout de 3 ports, son IP est bannie
• Sur un brute force de backoffice, idem
• Ou encore sur un scanner applicatif de vulnérabilité
Tout ce qui n’est pas autorisé va déclencher un
bannissement de l’IP, ce qui retarde considérablement
l’attaquant.

13. Une philosophie collaborative
12
DLPWAF Noyaux
& App
Anti
(d)Dos
Protections
Applicatives
Firewall
Dynamique

14. Tout CerberHost ?
€
13

15. Tout CerberHost ?
€
14

16. Tout CerberHost ?
€
15

17. Ce que nous faisons
SecOPS
DevOPS 16

18. 18
Chemin du Dévent 7
1024 Ecublens, Switzerland
+41.21.625.6990
contact@net4all.ch
@Net4allCH
End of Part 2