Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
Web Application Firewall : une nouvelle génération indispensable ?
1. Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Web Application Firewall :
une nouvelle génération indispensable ?
Public
1.0
Web Application Firewall : une nouvelle génération indispensable ?
29.06.2016
2. Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Implanté à Genève depuis novembre 2002
• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013
• Entreprise à taille humaine : 31 personnes
• Des valeurs communes :
‒ Sens du service
‒ Ethique
‒ Simplicité
• Société autofinancée et indépendante
• Une signature : « embedded security »
Web Application Firewall : une nouvelle génération indispensable ?
229.06.2016
4. Kyos SARL
Quoi de neuf ?
Nouveau CRM
Nouvelle équipe de
consultant sécurité
Un outil en
adéquation avec
notre sens du
service
Asset
Management
Plus de
transparence
Plus de
proximité avec
nos clients
historiques en
Suisse
Alémanique
Développement
Géographique
de Kyos
Export de nos
expertises
sécurité et
réseau
Accompagner
nos clients
sécurité
Nouveau bureau
à St Gallen
Web Application Firewall : une nouvelle génération indispensable ?
429.06.2016
5. Expert sécurité, réseau et services informatiques
Agenda
Applications, Flexibilité et Sécurité
‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de
Messagerie et
collaboration Microsoft :
Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
6. Kyos SARL
Le contexte
Application Flexibilité Sécurité
Web Application Firewall : une nouvelle génération indispensable ?
«Une application ou un applicatif
est, dans le domaine
informatique, un programme (ou
un ensemble logiciel) directement
utilisé par l'utilisateur pour
réaliser une tâche, ou un
ensemble de tâches élémentaires
d'un même domaine ou formant
un tout. Typiquement, un éditeur
de texte, un navigateur web, un
lecteur multimédia, un jeu vidéo,
sont des applications. Les
applications s'exécutent en
utilisant les services du système
d'exploitation pour utiliser les
ressources matérielles.»
Outil de l’utilisateur Nouveaux modes de travail Nécessité, voir obligation
Une initiative locale qui concrétise
une tendance profonde :
http://work-smart-initiative.ch
• Faits divers
• La Suisse coffre fort numérique
629.06.2016
7. Expert sécurité, réseau et services informatiques
Kyos SARL
La solution de notre partenaire
Web Application Firewall : une nouvelle génération indispensable ?
Applications,FlexibilitéetSécurité
8. Kyos SARL 8
CONSTRUIRE SA DÉFENSE DANS LE MONDE DIGITAL
• DES MURS POUR SÉCURISER LE PÉRIMÈTRE
‒ Garder les « méchants » en dehors
‒ Chercher des signes d’activités suspicieuses
au sein du trafic réseau
‒ S’appuyer sur des signatures d’attaques
• CRÉER DES APPS SANS VULNÉRABILITÉS
‒ Former les développeurs, auditer le code
‒ Tester les applications en mode runtime
• CRÉER DES ZONES DE CONFIANCE DANS UN MONDE OUVERT
‒ Autoriser les personnes à accéder et partager des
données en toute sécurité
• PRÉVENIR LES COMPORTEMENTS ILLÉGAUX ET MALICIEUX
‒ Surveiller l’usage, comprendre les intentions
‒ Évaluer le niveau de confiance
‒ Répondre en conséquence
• LA SÉCURITÉ APPLICATIVE AU SEIN DE DEVOPS
‒ Scanneur et WAF dès développement et préprod
LE NOUVEAU MODÈLE SE
CONCENTRE SUR LES UTILISATEURS
L’APPROCHE DU 20ÈME SIÈCLE
A ÉCHOUÉ
9. Kyos SARL 9
IMPACT DES ATTAQUES SUR LA COUCHE APPLICATIVE
Fuite de données financière
Altération du processus commercial
Problématique
Mortel
Indexation de données
Défacement
Déni de service
Vols de données personnelles
Injection de logiciels malveillants
Clients compromis
Usurpation d’identité
Contrôle à distance
Destruction du système IT
10. Kyos SARL 10
DENYALL EN QUELQUES MOTS…
Siège à Paris
70 personnes
dont 30 en R&D
Commerciaux à
travers l’EMEA
Applications
protégées
Clients
dans toutes
les industries
35%
de CA à
l’international
Certification de Sécurité de
1er Niveau pour les WAFs
Co-fondateur de l’alliance
pour la cybersécurité et la
confiance numérique
Visionnaire dans le
Magic Quadrant WAF
2015
ANNEES D’EXPERIENCE DANS
LA SECURITÉ APPLICATIVE
DETECT
MANAGE
PROTECT
CONNECT
App Web & Web Services
THEY TRUST US
11. Kyos SARL 11
FAITES CONFIANCE AUX EXPERTS
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner
document is available upon request from DenyAll. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not
advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research
organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including
any warranties of merchantability or fitness for a particular purpose.
• LEADER EN MATIÈRE D’INNOVATION
• DenyAll reconnu comme Visionnaire
• “Les organisations recherchant une forte
sécurité, devraient commencer par ajouter
DenyAll à leur shortlists”
• UN MARCHÉ OUVERT ET EN PLEINE
CROISSANCE
• 420M $ en 2014, +24% YOY
• Beaucoup de généralistes,
peu d’experts en sécurité applicative comme
DenyAll
12. 6/29/2016 12
SÉCURITÉ APPLICATIVE DE NOUVELLE GÉNÉRATION
Web Application Firewalls
Web Services Firewalls
Réseau & Application
Scanners de vulnérabilités
Gestion des accès Web
Central Provisioning
Monitoring & Reporting
DETECT
MANAGE
PROTECT
CONNECT
• Identifie les atouts
• Détecte les vulnérabilités
• Réduit la surface d’attaque
• Les applications sont plus sures et plus
rapide
• Protège contre les fuites de données et
les attaques de dénis de service
• Répond aux comportements dangereux
des utilisateurs
• Simplifie la sécurité pour les utilisateurs
(SSO)
• Adapte l’authentification au contexte et au
comportement des utilisateurs
• Peut être déployé n’importe ou
• Mesure les progrès au fil du temps
13. 6/29/2016 13
• ROUTAGE
• Routage facile du traffic depuis des URLs publiques vers les applications
internes
• Forcer le traffic HTTPS avec un chiffrement choisi
• MONITORING
• Usages, Utilisateurs connectés, etc
• Visibilité sur le traffic, attaques, throughput, etc
• MASQUAGE DE DONNÉES
• Masquer des informations sur l’infrastructure interne (IP, hostnames, etc)
• Configurer une DMZ publique appropriée avant l’accès à vos données
• CENTRALISATION
• Manager la sécurité d’un point central (politique homogène)
• Déployer rapidement et facilement les patchs (open SSL par exemple)
POURQUOI UN WAF EN MODE REVERSE PROXY
14. 6/29/2016 14
• ACCELERATION
• Terminaison SSL à la place du back end
• Mettre les fichiers statique en chache
• Compresser
Le cache et la compression économisent en moyenne ~80% du traffic
sur les back-ends
• PROTECTION DDOS
• Blocage des DDoS niveau 7
• Blocage des tentatives de Brute Force
AUTRES AVANTAGES
15. 6/29/2016 15
• ANALYSER LE COMPORTEMENT UTILISATEUR
• Prevenir un abu ou détournement de droits
• Detecter les attaques automatisées ”bots”
Le futur réside dans le profilage de l’utilisateur pour comprendre son
intention
• MONITORER LE COMPORTEMENT DE L’UTILISATEUR POUR PRÉVENIR LES
ATTAQUES
• USER REPUTATION SCORING POUR PRENDRE DES DECISIONS PLUS
INTELLIGENTES
• User tracking, reputation and scoring avec les réactions adéquates
• AUTHENTIFICATION ADAPTATIVE: AJUSTER LA POLITIQUE DE SÉCURITÉ AU
CONTEXTE UTILISATEUR
VOIR NOTRE WEBINAR “ANGEL OR DEVIL?”*
SÉCURITÉ APPLICTIVE : “USER-CENTRIC”
16. Expert sécurité, réseau et services informatiques
Kyos SARL
Le film de la publication d’application
Web Application Firewall : une nouvelle génération indispensable ?
Applications,FlexibilitéetSécurité
17. Kyos SARL
Notre scénario
Web Application Firewall : une nouvelle génération indispensable ?
1 projet de
publication
1 société
spécialisé
dans
l’Applicatif
1 expert
sécurité
1 leader du
WAF
1 portail
d’information
sécurisés
1729.06.2016
18. Kyos SARL
Nos acteurs
Web Application Firewall : une nouvelle génération indispensable ?
1 portail
information
sécurisé
1829.06.2016
19. Expert sécurité, réseau et services informatiques
Agenda
Publication de services de Messagerie
et collaboration Microsoft :
Exchange et SharePoint
Mathias Crochat
‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de
Messagerie et
collaboration Microsoft :
Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
20. SHAREPOINT
Agenda
Enjeux pour l’entreprise
Solution SharePoint
Architecture
Sécurité
Web Application Firewall : une nouvelle génération indispensable ? 2029.06.2016
21. ENJEUX POUR L’ENTREPRISE
Faits Réponses
Production massive d’information
Difficile de trouver rapidement l’information
Équipe de plus en plus géo-distantes
Grande appréciation des réseaux sociaux
Publication rapide d’information
Puissant algorithme de recherche et d’indexation
Haute granularité pour les autorisations
(Application web, Collections de sites, sites,
sous-sites)
Analyse et monitoring
Forte intégration avec les outils Office
Edition en ligne (Office WebApp Server)
Fonctions de réseau social d’entreprise
Web Application Firewall : une nouvelle génération indispensable ? 2129.06.2016
22. SOLUTION SHAREPOINT
Outil de collaboration
Listes, Bibliothèque de documents,
Tâches, Wikis, Forums
Prise en main très simple
Centralisation de l’information
Grande flexibilité organisationnelle
Versionning, checkin-checkout
Workflows
Fonctionnalités sociales
Web Application Firewall : une nouvelle génération indispensable ? 2229.06.2016
23. ARCHITECTURE PHYSIQUE
Solution standard
2 Serveurs web
1 Serveur SQL
1 Serveur Office Web Apps
Intégration avec Active Directory
Web Application Firewall : une nouvelle génération indispensable ? 2329.06.2016
25. ARCHITECTURE (SUITE)
Applications publiées
Consommation publique
Intranet institutionnel
Utilisateurs AD
Contenu sensible
Fonctionnalités sociales
Sites/infos personnelles
Web Application Firewall : une nouvelle génération indispensable ? 2529.06.2016
26. SÉCURITÉ
Problématiques
Publication vers l’extérieur
Abandon du support Microsoft TMG/UAG
Remplacé par WAP
Services EOL EOS Serveur
UAG 07.2014 04.2015 2008 R2
TMG 07.2014 04.2015 2008 R2
Roadmap Microsoft
Web Application Firewall : une nouvelle génération indispensable ? 2629.06.2016
27. Expert sécurité, réseau et services informatiques
Agenda
Sécurisation avec Denyall
‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de
Messagerie et
collaboration Microsoft :
Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
28. Kyos SARL
Use cases
Configuration simplifiée User Reputation Single Sign-On
Modification de
Contenu
Web Application Firewall : une nouvelle génération indispensable ?
User
Behavior
Analysis
User
Reputation
Scoring
Bon
Suspect
Danger
Autorisé
Ban IP
Login
Password
CRM
2829.06.2016
30. Kyos SARL
Conclusion
Web Application Firewall :
une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
3029.06.2016
31. Kyos SARL
Conclusion
Web Application Firewall :
une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
3129.06.2016
32. Kyos SARL
Conclusion
Besoins exponentiels de publication externe
• Single-Sign-On pour garantir la facilité d’utilisation
• Réécriture de code à la volée pour la compatibilité
Applications web de plus en plus complexes
• Développement axé sur les fonctionnalités et pas forcément la sécurité
• Détection comportementale des attaques
Etre réactif face aux attaques c’est arriver trop tard
• Proactivité et automatisation nécessaires (IP reputation, User Reputation)
La confidentialité des données doit être respectée
• Authentification à plusieurs facteurs
• Chiffrement des services en clair
Web Application Firewall : une nouvelle génération indispensable ?
3229.06.2016
33. Expert sécurité, réseau et services informatiques
Agenda
Discussion ouverte
‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de
Messagerie et
collaboration Microsoft :
Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
34.
35. Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Chemin Frank-Thomas, 32
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci
Web Application Firewall : une nouvelle génération indispensable ?