Swiss Grade Security - 3 octobre 2017 - Lausanne
Net4All propose, avec CerberHost, une autre approche de la sécurité. Il est impossible de sécuriser son site web à 100%, d’autant plus que les moyens à investir pour une sécurité absolue sont trop importants pour la majorité des entreprises. L’objectif est plutôt d’identifier les risques et de mettre en place des protections adaptées permettant de dissuader le pirate, en général en rendant l’attaque tellement coûteuse qu’elle ne sera pas rentable pour lui. C’est ce que propose CerberHost, avec une philosophie collaborative alliant protections techniques et expertise humaine.
2. Eviter les erreurs du passé
1
• La sécurité d’abord
• La sécurité absolue
• La sécurité couteuse
• La sécurité aveugle
3. Une autre approche
2
• Les méthodes d’attaque :
– Les attaques ciblées sont coûteuses pour l’attaquant
– Les attaques opportunistes sont simples et répétitives
– Les DDoS sont une compétition de moyens et court terme
• Nous devons donc :
– Faire comprendre à l’attaquant que cela ne sera pas rentable
– Bloquer les attaques triviales avec des outils systématiques
– Montrer que l’on a plus de moyens
5. Le coût de la sécurité
€0%
99%
90%
99.9%
75%
50%
10 K€ 20 K€ 50 K€ 100 K€ 1 M€
4
6. Il suffit de changer quelques habitudes
5
• Sans pour autant faire passer la sécurité avant le
business
– Être plus précis dans les procédures de publication
– Plus de mots de passe faibles
– Communications chiffrées des éléments sensibles
– Pas d’accès root
– Filtrage des IP entrantes et sortantes
7. Augmenter la difficulté pour l’attaquant
6
• Il faut disposer de :
– beaucoup de temps
– beaucoup de ressources
– d’énormément de savoir faire technique
• Pour espérer compromettre un serveur CerberHost
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemar pour les attaquants, afin de les dissuader.
8. The Fire « hole »
HTTP(s)
Attaques hors
HTTP(s)
Attaques sur
Filtrées par le firewall
5% 95%
Non filtrées par le firewall
7
12. Cas d’usage et d’attaque
11
• Un attaquant lance un scanner de ports sur la machine
• Au bout de 3 ports, son IP est bannie
• Sur un brute force de backoffice, idem
• Ou encore sur un scanner applicatif de vulnérabilité
Tout ce qui n’est pas autorisé va déclencher un
bannissement de l’IP, ce qui retarde considérablement
l’attaquant.