Protection et fuite des données - Hewlett Packard€¦ · objectifs dans le futur. Une menace...

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Protection et fuite des données : quelles sont les clés pour s’en sortir Monaco, le Vendredi 4 Octobre 2013

Philippe Jouvellier, HP Enterprise Security Products

Abdelbaset Latreche, HP Enterprise Security Services

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2

De la forteresse au concept de Cloud et Big Data

GESTION PROACTIVE DES

RISQUES

COLLABORATIF OUVERT & ETENDU

EQUIPEMENTS, DONNEES &

INFRASTRUCTURE

CLOUD Public, Privé, Adoption

BIG DATA Contenu, Contexte, Non struturé

FORTERESSE Sécurité réactive du périmètre

CONSUMERISATION Mobilité, BYOD & Média Social


Exemple du Big Data

Média Social IT/OT

Images Audio

Vidéo

Données

transactionnelles

Mobile

Moteur de

recherche

Messages

Textes

Documents

€

85%


Exemple du Big Data

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/













Et le Cloud : remise en cause des fondamentaux de la sécurité

Les gens et l'identité

Application et Processus

Réseau, serveur et Endpoint

Données et informations

Infrastructure physique

Gouvernance, Risque et Conformité

Sécurité et Confidentialité

Connexions multiples, nombreux rôles

Multi-location, ressources partagées

Difficultés à vous connecter

Fournisseur, manque de visibilité

Virtualisation, Accès réduit

Approvisionnement rapide

Vers le Cloud

Dans un environnement Cloud, les accès s’étendent, les responsabilités changent, les contrôles se déplacent, et la vitesse de mise à disposition de ressources et d’applications augmente – tout ceci impacte profondément l’ensemble des aspects de la sécurité.


Nouveaux challenges Sécurité


Périmètre logique

Comment la plupart des compromissions se déroulent ?

Leur éco système L’Enterprise

Recherche

Découverte

Capture

Exfiltration

€ € €

Infiltration

1-Acquisition de cible et infiltration (la sécurité périmétrique n’empêche rien)

2-Accès aux ressources sensibles (la découverte des intrusions peut prendre du temps)

3-Cyber crime dans la durée (la détection précoce est nécessaire)

80%

du budget de sécurité est principalement consacré à l’infrastructure et à la protection du périmètre


PRÉSENTATION* Les vulnérabilités ou failles dites critiques sont en baisse mais restent une menace importante Les technologies arrivées à maturité posent toujours des risques Les plates-formes mobiles sont propices au développement de nouvelles vulnérabilités Les applications Web demeurent une source importante de vulnérabilités Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateurs TENDANCES DES VULNÉRABILITÉS* La chasse aux vulnérabilités : 19 % de vulnérabilités de plus en 2012 qu'en 2011 Evolution des marches et complexité accrue nuisant à la détection et la signalisation des vulnérabilités Les applications Web posent toujours des risques importants VULNÉRABILITÉS DES APPLICATIONS WEB* Des attaques dévastatrices En-tête X-Frame-Options : échec de lancement SÉCURITÉ DES APPLICATIONS MOBILES* Fuite de données sensibles sur des canaux non sécurisés Les accès non autorisés concernent quasiment la moitié des applications mobiles Les dix principales vulnérabilités : des applications mobiles

*Source: Rapport HP 2012 sur les Cyber Risques


Brèches de sécurité: constats et observations

Source: 2012 Verizon Data Breach Report

855 incidents

174 millions d’événements


84% des brèches sont liées aux applications

*Gartner, 2013

L’enjeu


Mettre en œuvre les capacités pour contrer les adversaires


Un adversaire qui possède un niveau d’expertise élevé, avec des moyens importants qui lui permettent de créer des opportunités pour atteindre ses objectifs, en utilisant de multiples vecteurs d'attaques (par exemple, cyber, physique, et la tromperie). Ses objectifs comprennent généralement la création et l'extension de points d'ancrage dans l’infrastructure de technologie de l'information des organisations ciblées, à des fins d‘exfiltration d’information, ou bien pour saper ou entraver les aspects cruciaux d'une mission, d'un programme ou d'une organisation, ou encore se positionner pour réaliser ces objectifs dans le futur. Une menace persistante avancée: (i) poursuit ses objectifs de façon répétée dans la durée, (ii) s'adapte aux efforts des défenseurs à lui résister, et (iii) est déterminée à maintenir le niveau d'interaction nécessaire à l'exécution de ses objectifs

APT: Advanced Persistent Threat* NIST SP 800-39

*Advanced Persistent Threat: Menace Persistante avancée


Quelles sont les clés pour s’en sortir ?


Propriété Intellectuelle Confidentiel Business Réglementaire Conformité Nationale

Procédés de fabrication Code source Méthodologie Design, plans, formules

Payment Card Industry ASIP Santé NERC (US) Solvency II, Bâle III

CNIL Directive Européenne RGS (en cours) FISMA (US)

Information financière Fusions et acquisitions Employés Stratégie commerciale

Quelles sont les données à protéger ?

L’analyse des processus critiques de l’organisation et des exigences de conformité doivent permettre d’identifier les données à protéger et leurs typologies.


Où sont les risques ?

Données en repos

•Serveurs de fichiers

•Réseau de stockage (SAN/NAS)

•Lecteurs de bandes magnétiques

•Base de données

•Photocopieuse

En mouvement (réseau)

•E-mail

•Messagerie instantanée

•Navigateur Web

•Transfert de fichier

• Technologie utilisateur IM

En cours d’utilisation

•Ordinateur portable

•Lecteurs MP3

•Smartphone

•Clé USB / Disque Dur Externe

•CDs / DVDs

Importance du cycle de vie de la donnée


Est ce que la donnée est classifiée ?

Catégorie

Impact

Gestion

Exemple

Mesures

Secret

La divulgation pourrait nuire gravement aux intérêts de l’organisation

Gestion selon des procédures bien définies, stockée uniquement dans un lieu chiffrés sous le contrôle de l’administrateur

Information classifiée par la loi (ex: OTAN, gouvernement)

Utilisation de la cryptographie, coffre-fort, mémoire uniquement.

Confidentiel

La divulgation pourrait nuire aux intérêts de l’organisation

Gestion selon des procédures bien définies, accès restreint à des personnes ayant un motif approuvé

Secret bancaire, données à caractères personnelles sensibles (santé)

Utilisation de la cryptographie, stockage local non partagé, gestion des accès formellement gérés

Restreint

La divulgation pourrait être défavorable aux intérêts de l’organisation

Gestion de données à caractères personnelles (salaire)

Documentation, Programme source

Utilisation de la cryptographie, gestion des accès strictement gérés

Interne

La divulgation pourrait être parfois défavorable aux intérêts de l’organisation

Peut être transmis à d’autres organisations

Procédure de fonctionnement, guide utilisateur…

Utilisation et transmission libre en interne, la protection doit être assurée en cas de transmission en externe

Public

Information dont la divulgation n’est généralement pas préjudiciable

Peut circuler librement car la donnée est accessible en dehors de l’organisation

Publication, données informatives

Pas de contrainte sur l’utilisation ou la transmission


Comment les incidents doivent être signalés et gérés ?

• Identification des tiers

• Rôles et des responsabilités

• Gestion des violations

• Piste d’audit

• Audit

• Conformité

• Quarantaine

• Faux positif

• Intégration au processus existant

• Processus dédié

• Audit interne

• Plan de remédiation

• Investigation

• Indicateurs de suivi et bon fonctionnement

• Intégration d’une solution de prévention et de fuite des données

• Chiffrement des données

• Intégration à l’analyse de risques

Court terme Long terme


Cas n°1 : Diffusion par un tiers de confiance

Identification des données

(électronique, papier …) et mise en

en œuvre d’un processus de suivi.

Exigences contractuelles de

protection des données sous la

responsabilité du prestataire.

Exigences ASIP Santé imposées au

prestataires.

Un établissement de santé fait

appel à un sous-traitant et lui confie

ces données. Ce dernier les utilise

dans le cadre de tests de

régression de nouvelles

applications en cours de

développements. Ces données se

retrouvent ensuite envoyées à

l’éditeur pour plus de tests le tout

via un canal public.


Cas n°2 : Employé malveillant

Mieux contrôler l’accès et la transmission

de données personnelles en mettant en

place une solution de prévention des

fuites de données (DLP).

Mise en œuvre d’un plan d’assurance

sécurité.

Vol par un employé d’un média

contenant des données personnelles

d’une institution financière.

Mise en vente de ces informations

représentant environ 1000 employés

sur un site Internet illégal.


Cas n°3 : Conformité PCI DSS

Chiffrement et masquage des données

cartes bancaires.

Mise en place des exigences du

Payment Card Industry.

Fraude de données cartes bancaires

via le système de réservation.

Diffusion des données volées sur

des sites spécialisés de revente …


Recommandations

• Ne pas tenter de tout protéger dans les premières phases ! Identifier les priorités (risques majeurs ou conformité), le périmètre et l’adhérence des équipes

• Le support et la communication avec la direction sont requis

• La complexité d’une organisation à un impact sur la réduction des risques et la conformité • Ne pas apporter qu’une réponse technique mais un programme complet de protection des

données • L’intégration d’un programme de protection des données à un processus existant est

recommandée sur le long terme


L’approche HP ESS dans la Protection des Données et de la Vie Privée (DP&P)


Assess - Risque métier / conformité.

Transform - Exigences dans la protection des données.

Optimize - Réduction des risques.

Manage - Gestion des incidents.

Actionable

Security

Intelligence

De Réactif à Proactif dans la Protection des Données

Processus d’amélioration


Quelques pistes …


Défense en profondeur

La défense du château fort


Défense en profondeur

La défense du château fort CONTRÔLE DOMAINE LA RÉALITÉ PARFOIS SOUVENT OBSERVÉE

Firewall (réseau) Protection périmétrique Efficace jusqu’à l’ouverture de ports et la mise en place d’exceptions aux politiques de sécurité. Souvent géré par les équipes réseau.

VPN (Virtual Private Network) Protection périmétrique Certains utilisateurs externes ont besoin d’un accès – exceptions aux règles

IAM (Identity Access Mgt) Authentification/Autorisation Certains partenaires utilisent un compte générique partagé entre plusieurs personnes

IP (Intrusion Prévention Sys) Périmètre et Datacenter Souvent géré par les équipes réseau. Doit être contrôlé, adapté et reconfiguré presque chaque jour. Certaines applications doivent contourner les contrôles

Anti-virus/Anti-Malware) Protection « Host based » Efficace jusqu’à la première attaque non détectée et non bloquée

Firewall personnel Protection « Host based » Pas toujours actif

Chiffrement disque Protection « Host based » Ne chiffre pas toujours tout le disque et protège principalement contre les attaques « physiques »

Passerelle messagerie Protection des communications N’empêchent pas toujours les attaques de Phishing.

Services de proxy Protection des communications Ne bloque pas toujours les accès aux site hostiles. Efficace sur ce qui est connu, certains XSS n’on pas été bloqués

PCI (Payment Card Industry) Conformité Obligé de « patcher » chaque trimestre. Ça nous laisse 3 mois pour ne traiter uniquement que les vulnérabilités les + prioritaires. PCI ne donne pas toujours de budget sécurité

ISO 270001 Conformité On va passer l’audit. Pour les risques acceptés on va mettre en place un plan. Si l’auditeur demande, on le dira. Mais on est pas obligé de le dérouler. ISO ne donne pas de budget sécurité


La nouvelle règle du jeu : attraper « l’autre » A QUOI SONT EXPOSEES LES PROIES

MENACES POTENTIELLES A L’EXFILTRATION DE DONNÉES

• Emails contenant une URL ou une pièce jointe infectée • Services Web hébergeant un malware • Réseaux Peer to Peer • Applications de messagerie instantanée • News groups • Infections physiques – disques/clés USB • Réseaux sociaux, sites Vidéo…

CONSÉQUENCES: Compromission de systèmes avec élévation de privilèges, Propagation de vers au sein d’un parc informatique, Exfiltration de données à caractère sensible

COMMENT CONTRER LES PREDATEURS

• Mise en œuvre de contrôles et supervision

• Mis en œuvre de pièges et « Honey pots »

Détection (signaux faibles – comportements déviants)


Comment la technologie peut aider ?


Comportement des “attaquants”

• Trouver les faiblesses d’un dispositif de protection/contrôle

• Infiltrer un environnement

• S’y intégrer “en silence”

• Se propager et/ou augmenter ses capacités

• Exécuter une malveillance Exécuter un programme

Voler de la propriété intellectuelle

Défaire

Ajouter des ressources internes à un Botnet

Des procédés qui laissent des traces …


Comportements à risque connus • Communications Command and Control (CCC) IRC

P2P

SMTP

HTTP(S)

Services standards sur des ports “non standards” - HTTP sur le port 6445

• Communications lors de propagation d’attaques/malware (host to host) HTTP(s) entre Desktop/ Serveur

P2P entre Desktop/ Serveur

135,139, 445 entre Desktop / Serveur

• Et bien d’autres encore…


En fait nous ne savons pas ce que nous ne connaissons pas…

Détection des comportements inconnus

• Nous savons ce à quoi sont destinés les services: Un serveur Web HTTP parle généralement sur le port 80 avec des adresses IP publiques

Un serveur de messagerie SMTP accepte les mails entrants et sortant.

Un VPN est souvent mis en œuvre pour un tunnel “Business to Business”

• On utilise les listes “blanches” des services connus (well known ports)

• On fait appel aux anomalies Net flow

• On s’appuie sur les informations des firewalls pour détecter les anomalies

….en fait on cherche à détecter les déviations.

pas tout à fait vrai.


Détection des déviations

• On procède à une investigation sur un panel de menaces

• On crée des règles de corrélation avec ces cas d’usage « ciblés » Les services HTTP doivent fonctionner sur le port 80

Le service SNMP ne devrait pas fonctionner sur une adresse IP particulière

Un serveur avec sa base de données qui est utilisé généralement pour répondre à des requêtes d’API de 300ko est en train maintenant d’envoyer des donnés à un débit de 100Mo de données

Cette information, ou ce service se destine à un pays qui ne devrait pas avoir accès

….oui mais que fait-on des faux positifs / faux négatifs (moins connus)


Scénarii d’exfiltration complexes dans le temps


Déviation – Netflow “flux sortants”

………………….upload vers un serveur Web

………………….volume « sortant »

………………….port de transmission


Règles statiques versus règles dynamiques

Cas d’usage

• Les règles statiques sont relativement simples • Si X + Y + Z alors l’action A se déclenche,

• Si X se répète plus de 3 fois dans un intervalle de temps Y alors c’est Z qui se déclenche

• Les règles dynamiques sont plus élaborées mais elle ne sont pas fixes. • Si le trafic sur le port X excède une déviation standard basée sur l’historique des empreintes alors il y

a un problème,

• Si

− type d’attaque = hostile (exemple Buffer Overflow versus SYN Scan),

− +

− cible = actif critique (serveur plutôt qu’un poste d travail),

− +

− information vient d’un équipement de confiance = FW + IPS

− …alors déclencher une alerte ou bien escalader une instance de menace déjà active


Analytique à l’aide des technologies de “Big Data”

• Fournit l’intelligence dans l’utilisation des empreintes permettant la visualisation et l’investigation sur des réseaux, des activités ou des comportements à caractère hostiles et malicieux.

• Améliore les performances, contrairement aux capacités actuelles des utilisateurs métier qui essayent de résoudre les problèmes de fraude et de sécurité, tels que le vol de propriété intellectuelle ou d’actifs de valeur.

• Permet l’analyse des relations entre entités internes/externes et leurs attributs (par ex: utilisateurs, comptes, rôles, droits, machines, caractéristiques machines…), et ceci à travers des données structurées et non structurées.

Contexte de fraude et de sécurité


Stratégie HP ESP

Réduire la surface d’exposition

Identifier, améliorer et réduire les vulnérabilité des applications d'entreprise et des systèmes

Améliorer la gestion du risque

Transformer l'information: voir rapidement, trouver et arrêter les

menaces connues et inconnues

Protéger les actifs

Identifier, modéliser et protéger proactivement les actifs sensibles de

l'entreprise


Portfolio global de sécurité pour l’entreprise

Gestion de Log Universelle

Conformité et gestion du risque

Périmètre, Data Center & Sécurité réseau

Réduction des risques internes

Protection contre les Advanced Persistent Threats

Sécurité des applications et de la mobilité

Confidentialité des données & Prévention contre la fuite/perte des données

Surveillance des Applications & des Transactions


Une plate-forme complète de surveillance des menaces et des risques modernes, renforcée par la communauté d’utilisateurs parmi les plus avancées, Protect724

HP ArcSight : Security Intelligence

• Apporte la visibilité complète

• Analyse en temps réel et informe

• Répond pour prévenir les dommages

• Mesure l’efficacité des mesures de sécurité

Réponses Automatiques

Collecte de

données

Corrélation Evénements

Contrôle Processus

Surveillance utilisateurs

Surveillance Applications

Détection fraude

Gestion des logs

App


Identifie et élimine les risques dans les applications existantes et prévient l’introduction de risques dans le développement des applications

HP Fortify : Software Security Center

• Protège les applications métier critiques contre les attaques en supprimant les vulnérabilités logicielles

• Accélère les cycles de développement d’applications sécurisées

• Augmente la productivité des développements en intégrant la sécurité dans les applications

• Fournit l’intelligence lors des développements afin d’améliorer la sécurité opérationnelle.

Interne Externalisé

Commercial Open source


Un ensemble complet de solutions de sécurité pour les réseaux pour contrer les nouvelles menaces

HP TippingPoint : Network Defense System

• Evolutivité : répond aux besoins actuels et futurs des modèles de déploiement de sécurité (NGIPS)

• Dynamique : des analyses et déploiement des politiques avec une gestion en temps réel (NG Mgmt)

• Prédictif : intelligence pour adresser proactivement les menaces actuelles et futures (DVLabs)

Network Defense System

Next gen IPS Filtres de Réputation

DVLabs Next gen mgmt


HP Enterprise Security

ETENDRE LES MOYENS CAPACITAIRES

Protection proactive de l’information Protéger les informations sensibles au sein du système d’information

Security Technology

Security Consulting

Managed Security Services

Security Research & Intelligence

CONTRER L’ADVERSAIRE

Durcissement de la surface d’exposition Réduction des vulnérabilités des applications et des systèmes/équipements

GÉRER LES RISQUES ET LA CONFORMITÉ

Intelligence Voir, trouver les menaces connues ET inconnues


Merci Contacts Philippe Jouvellier, HP Enterprise Security Products - [email protected] Abdelbaset Latreche, HP Enterprise Security Services - [email protected]

mailto:[email protected]

mailto:[email protected]

Protection et fuite des données - Hewlett Packard€¦ · objectifs dans le futur. Une menace...

Documents

Transcript of Protection et fuite des données - Hewlett Packard€¦ · objectifs dans le futur. Une menace...