Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Web Application Firewall :
une nouvelle génération indispensable ?
Public
1.0
Web Application Firewall : une nouvelle génération indispensable ?
29.06.2016

Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Implanté à Genève depuis novembre 2002
• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013
• Entreprise à taille humaine : 31 personnes
• Des valeurs communes :
‒ Sens du service
‒ Ethique
‒ Simplicité
• Société autofinancée et indépendante
• Une signature : « embedded security »
229.06.2016

"Eh...what's up, doc?"

Kyos SARL
Quoi de neuf ?
Nouveau CRM
Nouvelle équipe de
consultant sécurité
Un outil en
adéquation avec
notre sens du
service
Asset
Management
Plus de
transparence
Plus de
proximité avec
nos clients
historiques en
Suisse
Alémanique
Développement
Géographique
de Kyos
Export de nos
expertises
sécurité et
réseau
Accompagner
nos clients
sécurité
Nouveau bureau
à St Gallen
429.06.2016

Agenda
Applications, Flexibilité et Sécurité
‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de
Messagerie et
collaboration Microsoft :
Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte

Kyos SARL
Le contexte
Application Flexibilité Sécurité
«Une application ou un applicatif
est, dans le domaine
informatique, un programme (ou
un ensemble logiciel) directement
utilisé par l'utilisateur pour
réaliser une tâche, ou un
ensemble de tâches élémentaires
d'un même domaine ou formant
un tout. Typiquement, un éditeur
de texte, un navigateur web, un
lecteur multimédia, un jeu vidéo,
sont des applications. Les
applications s'exécutent en
utilisant les services du système
d'exploitation pour utiliser les
ressources matérielles.»
Outil de l’utilisateur Nouveaux modes de travail Nécessité, voir obligation
Une initiative locale qui concrétise
une tendance profonde :
http://work-smart-initiative.ch
• Faits divers
• La Suisse coffre fort numérique
629.06.2016

Kyos SARL
La solution de notre partenaire
Applications,FlexibilitéetSécurité

Kyos SARL 8
CONSTRUIRE SA DÉFENSE DANS LE MONDE DIGITAL
• DES MURS POUR SÉCURISER LE PÉRIMÈTRE
‒ Garder les « méchants » en dehors
‒ Chercher des signes d’activités suspicieuses
au sein du trafic réseau
‒ S’appuyer sur des signatures d’attaques
• CRÉER DES APPS SANS VULNÉRABILITÉS
‒ Former les développeurs, auditer le code
‒ Tester les applications en mode runtime
• CRÉER DES ZONES DE CONFIANCE DANS UN MONDE OUVERT
‒ Autoriser les personnes à accéder et partager des
données en toute sécurité
• PRÉVENIR LES COMPORTEMENTS ILLÉGAUX ET MALICIEUX
‒ Surveiller l’usage, comprendre les intentions
‒ Évaluer le niveau de confiance
‒ Répondre en conséquence
• LA SÉCURITÉ APPLICATIVE AU SEIN DE DEVOPS
‒ Scanneur et WAF dès développement et préprod
LE NOUVEAU MODÈLE SE
CONCENTRE SUR LES UTILISATEURS
L’APPROCHE DU 20ÈME SIÈCLE
A ÉCHOUÉ

Kyos SARL 9
IMPACT DES ATTAQUES SUR LA COUCHE APPLICATIVE
Fuite de données financière
Altération du processus commercial
Problématique
Mortel
Indexation de données
Défacement
Déni de service
Vols de données personnelles
Injection de logiciels malveillants
Clients compromis
Usurpation d’identité
Contrôle à distance
Destruction du système IT

Kyos SARL 10
DENYALL EN QUELQUES MOTS…
Siège à Paris
70 personnes
dont 30 en R&D
Commerciaux à
travers l’EMEA
Applications
protégées
Clients
dans toutes
les industries
35%
de CA à
l’international
Certification de Sécurité de
1er Niveau pour les WAFs
Co-fondateur de l’alliance
pour la cybersécurité et la
confiance numérique
Visionnaire dans le
Magic Quadrant WAF
2015
ANNEES D’EXPERIENCE DANS
LA SECURITÉ APPLICATIVE
DETECT
MANAGE
PROTECT
CONNECT
App Web & Web Services
THEY TRUST US

Kyos SARL 11
FAITES CONFIANCE AUX EXPERTS
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner
document is available upon request from DenyAll. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not
advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research
organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including
any warranties of merchantability or fitness for a particular purpose.
• LEADER EN MATIÈRE D’INNOVATION
• DenyAll reconnu comme Visionnaire
• “Les organisations recherchant une forte
sécurité, devraient commencer par ajouter
DenyAll à leur shortlists”
• UN MARCHÉ OUVERT ET EN PLEINE
CROISSANCE
• 420M $ en 2014, +24% YOY
• Beaucoup de généralistes,
peu d’experts en sécurité applicative comme
DenyAll

6/29/2016 12
SÉCURITÉ APPLICATIVE DE NOUVELLE GÉNÉRATION
Web Application Firewalls
Web Services Firewalls
Réseau & Application
Scanners de vulnérabilités
Gestion des accès Web
Central Provisioning
Monitoring & Reporting
DETECT
MANAGE
PROTECT
CONNECT
• Identifie les atouts
• Détecte les vulnérabilités
• Réduit la surface d’attaque
• Les applications sont plus sures et plus
rapide
• Protège contre les fuites de données et
les attaques de dénis de service
• Répond aux comportements dangereux
des utilisateurs
• Simplifie la sécurité pour les utilisateurs
(SSO)
• Adapte l’authentification au contexte et au
comportement des utilisateurs
• Peut être déployé n’importe ou
• Mesure les progrès au fil du temps

6/29/2016 13
• ROUTAGE
• Routage facile du traffic depuis des URLs publiques vers les applications
internes
• Forcer le traffic HTTPS avec un chiffrement choisi
• MONITORING
• Usages, Utilisateurs connectés, etc
• Visibilité sur le traffic, attaques, throughput, etc
• MASQUAGE DE DONNÉES
• Masquer des informations sur l’infrastructure interne (IP, hostnames, etc)
• Configurer une DMZ publique appropriée avant l’accès à vos données
• CENTRALISATION
• Manager la sécurité d’un point central (politique homogène)
• Déployer rapidement et facilement les patchs (open SSL par exemple)
POURQUOI UN WAF EN MODE REVERSE PROXY

6/29/2016 14
• ACCELERATION
• Terminaison SSL à la place du back end
• Mettre les fichiers statique en chache
• Compresser
 Le cache et la compression économisent en moyenne ~80% du traffic
sur les back-ends
• PROTECTION DDOS
• Blocage des DDoS niveau 7
• Blocage des tentatives de Brute Force
AUTRES AVANTAGES

6/29/2016 15
• ANALYSER LE COMPORTEMENT UTILISATEUR
• Prevenir un abu ou détournement de droits
• Detecter les attaques automatisées ”bots”
 Le futur réside dans le profilage de l’utilisateur pour comprendre son
intention
• MONITORER LE COMPORTEMENT DE L’UTILISATEUR POUR PRÉVENIR LES
ATTAQUES
• USER REPUTATION SCORING POUR PRENDRE DES DECISIONS PLUS
INTELLIGENTES
• User tracking, reputation and scoring avec les réactions adéquates
• AUTHENTIFICATION ADAPTATIVE: AJUSTER LA POLITIQUE DE SÉCURITÉ AU
CONTEXTE UTILISATEUR
 VOIR NOTRE WEBINAR “ANGEL OR DEVIL?”*
SÉCURITÉ APPLICTIVE : “USER-CENTRIC”

Kyos SARL
Le film de la publication d’application
Applications,FlexibilitéetSécurité

Kyos SARL
Notre scénario
1 projet de
publication
1 société
spécialisé
dans
l’Applicatif
1 expert
sécurité
1 leader du
WAF
1 portail
d’information
sécurisés
1729.06.2016

Kyos SARL
Nos acteurs
1 portail
information
sécurisé
1829.06.2016

Agenda
Publication de services de Messagerie
et collaboration Microsoft :
Mathias Crochat
et Sécurité
Messagerie et

SHAREPOINT
Agenda
 Enjeux pour l’entreprise
 Solution SharePoint
 Architecture
 Sécurité
Web Application Firewall : une nouvelle génération indispensable ? 2029.06.2016

ENJEUX POUR L’ENTREPRISE
Faits Réponses
 Production massive d’information
 Difficile de trouver rapidement l’information
 Équipe de plus en plus géo-distantes
 Grande appréciation des réseaux sociaux
 Publication rapide d’information
 Puissant algorithme de recherche et d’indexation
 Haute granularité pour les autorisations
(Application web, Collections de sites, sites,
sous-sites)
 Analyse et monitoring
 Forte intégration avec les outils Office
 Edition en ligne (Office WebApp Server)
 Fonctions de réseau social d’entreprise

SOLUTION SHAREPOINT
 Outil de collaboration
 Listes, Bibliothèque de documents,
Tâches, Wikis, Forums
 Prise en main très simple
 Centralisation de l’information
 Grande flexibilité organisationnelle
 Versionning, checkin-checkout
 Workflows
 Fonctionnalités sociales

ARCHITECTURE PHYSIQUE
Solution standard
 2 Serveurs web
 1 Serveur SQL
 1 Serveur Office Web Apps
 Intégration avec Active Directory

Exemple
ARCHITECTURE LOGIQUE
Administration
centrale
Portail intranet
Administratif
Collaboratif
Team sites
Projet A Projet B Direction
Social
MySites

ARCHITECTURE (SUITE)
Applications publiées
Consommation publique
Intranet institutionnel
Utilisateurs AD
Contenu sensible
Fonctionnalités sociales
Sites/infos personnelles

SÉCURITÉ
Problématiques
 Publication vers l’extérieur
 Abandon du support Microsoft TMG/UAG
 Remplacé par WAP
Services EOL EOS Serveur
UAG 07.2014 04.2015 2008 R2
TMG 07.2014 04.2015 2008 R2
Roadmap Microsoft

Agenda
Sécurisation avec Denyall
et Sécurité
Messagerie et

Kyos SARL
Use cases
Configuration simplifiée User Reputation Single Sign-On
Modification de
Contenu
User
Behavior
Analysis
User
Reputation
Scoring
Bon
Suspect
Danger
Autorisé
Ban IP
Login
Password
CRM
2829.06.2016

Kyos SARL
Conclusion
3029.06.2016

Kyos SARL
Conclusion
3129.06.2016

Kyos SARL
Conclusion
Besoins exponentiels de publication externe
• Single-Sign-On pour garantir la facilité d’utilisation
• Réécriture de code à la volée pour la compatibilité
Applications web de plus en plus complexes
• Développement axé sur les fonctionnalités et pas forcément la sécurité
• Détection comportementale des attaques
Etre réactif face aux attaques c’est arriver trop tard
• Proactivité et automatisation nécessaires (IP reputation, User Reputation)
La confidentialité des données doit être respectée
• Authentification à plusieurs facteurs
• Chiffrement des services en clair
3229.06.2016

Agenda
Discussion ouverte
et Sécurité
Messagerie et

Contact us
Kyos SARL
Chemin Frank-Thomas, 32
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci

Web Application Firewall : une nouvelle génération indispensable ?

Contenu connexe

Tendances

En vedette

Similaire à Web Application Firewall : une nouvelle génération indispensable ?

Plus de Kyos

Web Application Firewall : une nouvelle génération indispensable ?