@nbs_system

@nbs_system

Darwinisme Digital

@nbs_system

@nbs_system

Groupe OTCollaborateurs,

dont 90 ingénieurs,présent dans 5

pays

Serveurs infogérés (privé/aws/azure)

CA 2016

OT Group

en chiffres

150

1000

5000

23 M€

Clients utilisent nos services

Your digital security partners

@nbs_system

SecOPS

DevOPS

Infogérance24x7Architecture

& expertise

Cerberhost17 couches de sécuritéLa sécurité à 99.9%

Groupe OT

@nbs_system

Etat des lieux

@nbs_system

Le trafic Web d’origine non

humaine

61%

Fois par jour : le nombre de scan d’une IP sur

Internet

50

Nombre d’attaques sur la couche Web par an

5 000 000 000

Des compromissions profondes partent de la couche web

70%

Quelques chiffres

@nbs_system

• 12 attaques > 100 Gbps en 2016 contre 5 en 2015

• Record homologué : 517 Gbps (Spike DDoS Botnet)

• 37 attaques par Miraï, en moyenne à 57 Gbps• 5.5 Gbps : la taille moyenne d’une DDoS

DDoS

@nbs_system

Secondes Minutes Heures Jours Semaines Mois Années

Temps entre le lancement de

l’attaque et l’intrusion

Temps avant exfiltration de

données

11% 82% 6% <1% <1% <1% 0%

7% 20% 2.5% 68% <1% <1% 0%

Temps entre la compromission et la détection 0% 0% 0% 27% 24% 39% 9%

. . .

...

..

État des lieux

@nbs_systemSource : Verizon Databreach report 2016

Le retail pour cible

@nbs_system

Le retail pour cible

Source : Akamai state of internet 2016 Q4

Le black Friday a été particulièrement visé par les hackers.

Nov. 24–29, 2016

@nbs_system

Sour

ce :

Akam

ai st

ate

of in

tern

et 2

016

Q4

• 4500 attaques / jour• 40% des attaques SQL• 64% du trafic

malicieux• $ 7M : le coût moyen

d’un vol de données

RETAIL :

Le retail pour cible

@nbs_system

Le retail pour cible

Darwinisme digital :  

«Ceux qui adaptent leur sécurité à leurs enjeux

survivent.»

@nbs_system

Types d’attaques

@nbs_system

Défendez vous, car vous ne retrouverez jamais les pirates

@nbs_system

Attaques ciblées vs opportunistes

95%Opportuniste

s 5%Ciblées

Faille détectée par un scanner Web, exploitable automatiquement en

quelques secondes, en général une faille d’un framework utilisé sur le site

InacceptablesAttaque potentiellement sur toute la

surface exposée du client, par de multiples vecteurs, incluant de l’ingénierie sociale au besoin.

Dangereuses

$

$

@nbs_system

Attaques opportunistes

Scan du 0/0 Aspiration des bannières22/80/443 Attente d’une vulnérabilité

Stockage en base de données

Vulnérabilitédécouverte Déploiement de

la vulnérabilité

$Vol de données

& produits Monétisation

@nbs_system

Attaques ciblées

Reconnaissance de la cible

Choix d’un vecteur d’attaque

$Monétisation Compromission

Etape 1 Etape 2 Etape 3 Etape 4

@nbs_system

DDoS

$Monétisation

Etape 1 Etape 2 Etape 3 Etape 4 Etape 5

@nbs_system

Nous devons donc nous défendre contre :

1

2DDoS Attaque

s ciblées

Attaques opportunist

es

3

@nbs_system

Solutions

@nbs_system

En résumé

• Les attaques ciblées sont coûteuses pour l’attaquant• Les attaques opportunistes sont simples et répétitives• Les DDoS sont une compétition de moyens, court terme

• Faire comprendre à l’attaquant que ca ne sera pas rentable• Bloquer les attaques triviales avec des outils systématiques• Montrer que l’on a plus de moyens

Nous devons donc :

@nbs_system

• Un budget énorme (500 M$)

• On empile les technologies

• On monitore• On se fait plomber

L’approche « JP Morgan »

@nbs_system

Le logarithme de la sécurité

€0%

99%

90%

99.9%

75%

50%

10 K€ 20 K€ 50 K€ 100 K€ 1 M€

@nbs_system

Le paradoxe du Fire « hole »

HTTP

HTTPS

HTTP(s)Attaques

horsHTTP(

s)Attaques sur

Filtrées par le firewall

5% 95%

Non filtrées par le firewall

@nbs_system

Code

Des dispositifs coopérants

DLPWAF Noyaux & App

Anti (d)Dos

ProtectionsApplicatives

FirewallDynamique

@nbs_system

Code

Une chaine complète

Sécuritéà 99%

HumainsSensibilisation des collaborateurs

Formation des administrateursFormation des développeursVeille sécurité & procédures

Code sourceAudit de code sourceContrôle continu des vulnérabilités

RéseauAnti DDoS

Anti DoSAnti Application level DoS

Vlan isolés

InfrastructureTests d’intrusionsDurcissement des noyaux Durcissement des configs & stacks applicativesWAF, Firewall dynamique, DLP, etc.

@nbs_system

Les budgets

@nbs_system

Montez la barre

• Politique de mots de passe forts• Changement régulier des mots de passe• Lecture des supports ANSSI• Lecture du livre blanc de la Fevad• Chiffrement des disques• Formation / sensibilisation Sécurité

Gratuit

@nbs_system

Montez la barre

• Audit de configuration• Déploiement d’anti virus / malware• Configuration d’un WAF Opensource• Chiffrement SSL (mail / http)• Test de sécurité automatisés

10 000 € / an

@nbs_system

Montez la barre

• Hébergement sécurisé• Test d’intrusion• Audit de code source• Firewall & configuration de sécurité• Installation d’un WAF sur mesure• Composants de sécurité• PSSI

50 000 € / an

@nbs_system

Montez la barre

• Hébergement haute sécurité PCI/DSS• Supervision continue (SoC)• Veille sur les failles émergentes• Virtual patching• 2 Factor authentication• Backup haute fréquence

100 000 € / an

@nbs_system

Montez la barre

• Sécurité pro active avec revues quotidienne• SecOPS / SoC externalisé• Test d’intrusion réguliers• Audit de code différentiels à chaque MàJ• Environnements dupliqués en PCA/PRA• Backup déportés à haute fréquence

> 250 000 €

@nbs_system

Code

Notre solution

HardwareOperating system

NetworkApplicative stack

DatabaseWebsite

Humans

Motivating wagesEquipe SOCSecurity trainingsBackground checks

N.A.X.S.I (WAF)ReqLimit (Anti applicative DoS)ExecVE killerFile Upload checkerSnuffleupagusApp scanThreadfix virtual patching

MySQL InterceptorSnuffleupagus

SnuffleupagusDaemon hardening

Anti DDoSIsolated VlansFirewalling dynamic

PAXGrSecWatch FolderPHP Malware finder

Redundant hardwareRedundant datacentersRedundant data storageRedundant telecom uplinks

Dynamic Firewall

@nbs_system

MERCI@philippe_humeauphu@nbs-system.com

Merci !