DenyAll, expert Français en sécurité applicative

Transcription

1 DenyAll, expert Français en sécurité applicative GS Days 18 Mars /19/2014 Deny All /19/2014 DenyAll

2 Les applications Sont devenues les composants critiques des systèmes d information modernes Les problèmes liés aux applications impactent réputation, CA et rentabilité Les applications critiques requièrent sécurité et performance optimale Sujet de préoccupation au sein des conseils d administration Confidenti alité Disponibilité Intégrité 3/19/2014 Deny All /19/2014 DenyAll

3 Au cœur du système d information Click on objects for details Private Cloud LAN Structured Corporate Data Outlook Web Access inotes Sharepoint Lyncs Google Apps Office 365 Webmail & Collaboration Applications Corporate Applications ERP Finance HR etc ebanking ecommerce esupport eadministration Corporate & Transactional Web Sites Service Oriented Applications Vertical applications Intra-banking Scada Mobile Apps etc Unstructured Corporate Data Public Cloud WAN Skip details 3/19/2014 Deny All /19/2014 DenyAll

4 Un système d information webisé Employés Clients Partenaires Fournisseurs Smartphones Tablets PCs Web Services 3/19/2014 Deny All /19/2014 DenyAll

5 Risques? Legitimate Users Hackers & Thieves 1. Espionage, vol de données 2. Destruction de données, défacement 3. Deni de service 4. Intrusion 3/19/2014 Deny All /19/2014 DenyAll

6 Causes principales Legitimate Users Hackers & Thieves 2. Attaques couche 7 Injections Cross Site Scripting Brute force Déni de service Vol de cookie etc 1. Infrastructure vulnérable Systèmes non patchés Applications non à jour Erreurs de codage Services mal configurés Mots de passe triviaux etc 3/19/2014 Deny All /19/2014 DenyAll

7 Réduire les risques Legitimate Users The Bad Guys 2 Filtrer le trafic Web entrant 1 Gérer pro-activement les vulnérabilités 3/19/2014 Deny All /19/2014 DenyAll

8 La solution DenyAll Configuration & reporting Manage Legitimate Users The Bad Guys 2 Protect Filtrer le trafic Web entrant 1 Detect Gérer pro-activement les vulnérabilités 3/19/2014 Deny All /19/2014 DenyAll

9 La course à l évolution Les risques évoluent Nouveaux langages et protocoles enrichissent l expérience des utilisateurs, mais créent de nouveaux risques JSON, REST, XML, HTML5, etc Les filtres traditionnels sont désactivés pour éviter les faux positifs Les attaquants ciblent la couche applicative Contournent ce qu il reste des contrôles de sécurité La sécurité doit évoluer Nouveau paradigme technologique : identifier la nature des requêtes, pas leur contenu Intégrer les outils de sécurité au cycle de développement Sécurité de «bout-en-bout» (du client au serveur) 3/19/2014 Deny All /19/2014 DenyAll

10 Gartner Marketclock Protection d infrastructure Mise à jour d Avril 2013 : WAFs déplacés dans la zone «choix» La gestion des vulnérabilités (VA) ajoutée dans la phase de choix 1. Les éditeurs spécialisés sont les premiers à introduire de nouvelles fonctions de sécurité et sont typiquement meilleurs en support que les fournisseurs d ADC 2. Les développeurs peuvent utiliser le WAF pour identifier les modifications à faire dans leur code 3. Les WAFs doivent s intégrer avec les outils de gestion des vulnérabilités (DAST) Les données VA peuvent être utilisées pour améliorer la granularité et l exactitude des contrôles de sécurité tels que WAFs et IPS 3/19/2014 Deny All /19/2014 DenyAll

11 15 ans d expertise en sécurité applicative Produits développés au sein de la Société Générale Création de la société en 2001 Stabilité financière Soutenue par Truffle Venture & Omnes Capital depuis 2004 Rentable depuis 2009, CA en hausse de 10% en 2012 Acquisition de VulnIT en 2012, d autres acquisitions à venir 40 employés 50% à la R&D 40% du CA à l Export Siège social à Paris, bureaux en Allemagne et à Singapour Partenaires en Europe, Afrique et Moyen-Orient, Asie, Amérique Latine Plus de 350 clients dans le monde 30% du CAC40 Plus de applications Web protégées 3/19/2014 Deny All /19/2014 DenyAll

12 Des clients fidèles Financial Services Government / Public Energy & Industry Telco & Services Media, Retail & Transportation 3/19/2014 Deny All /19/2014 DenyAll

13 Reconnaissance du marché Les analyste reconnaissent DenyAll comme un acteur important du marché Tous les documents Gartner sur la sécurité des applications Rapport Forrester sur le WAF rweb certifié & qualifié par l ANSSI CSPN en Juin 2013 Certification Sécurité de Premier Niveau Seul WAF certifié et qualifié à ce jour Usage recommandé dans le secteur public et auprès des opérateurs d infrastructure vitale (OIV) 3/19/2014 Deny All /19/2014 DenyAll

14 Leader en innovation Sécurité applicative de nouvelle génération Moteurs de détection avancés Patching virtuel Sécurité applicative de bout en bout (Client Shield) Stratégie Cloud Amazon Web Services et Microsoft Azure Partenariat avec les fournisseurs Cloud Projet R&D «Application Security as a Service» 3/19/2014 Deny All /19/2014 DenyAll

15 Detect. Protect. Manage. 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

16 Gamme de produits Auditor Vulnerability Manager Edge Tester Detect Management Console Application Security Dashboard Manage Protect sproxy rxml rweb rweb with Client Shield 3/19/2014 Deny All /19/2014 DenyAll

17 DenyAll Detect Réduire la surface d attaque 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

18 Gestion des vulnérabilités Web Apps Systems Networks Databases File Shares WiFi Detect Asset Discovery Vulnerability Detection Reporting Découvertes des actifs de l infrastructure Applications, systèmes, composants réseau Identification des vulnérabilités Scanneurs Open Source et propriétaires Rapports concis, gestion des tickets Pour les équipes opérationnelles et de direction 3/19/2014 Deny All /19/2014 DenyAll

19 Une gamme de scanneurs Détection des vulnérabilités depuis l Internet, en mode SaaS Détection et correction des vulnérabilités depuis l intérieur du réseau, format machine virtuelle Scanneur de vulnérabilités portable, sur clé USB 3/19/2014 Deny All /19/2014 DenyAll

20 Des tests exhaustifs Asset Discovery Vulnerability Detection Reporting Detect Web Apps Systems Networks Databases File Shares WiFi Crawler Patch Mngt Patch Mngt Patch Mngt Authentication Authentication SQLi Configuration Authentication Authentication Configuration Configuration XSS Configuration Configuration Encryption LFI/RFI Encryption SSL FPD 3/19/2014 Deny All /19/2014 DenyAll

21 Une solution complète Site distant 1 Import VM Centrale Pas de connection VM distante Web Database DMZ Site principal Site distant 2 3/19/2014 Deny All /19/2014 DenyAll

22 DenyAll Protect Prévention des attaques modernes 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

23 Blocage en ligne et temps réel des attaques Legitimate Web Services Trafic Web/XML légitime autorisé Mail Server Database Server Legitimate User Network Firewall Protect Web Server Application Server Hacker Trafic Web/XML dangereux bloqué!! Web Services Bot Network File Server/Storage 3/19/2014 Deny All /19/2014 DenyAll

24 Une plateforme éprouvée Reverse Proxy Protect High Availability Application Acceleration Standard Web App Security Advanced Web App Security XML Security User Security Reverse proxy = sécurité maximale Rupture protocolaire, masquage de l infrastructure, inspection en profondeur Plateforme modulaire Produits packagés : sproxy, rxml, rweb Mise à jour par simple clé de licence 3/19/2014 Deny All /19/2014 DenyAll

25 15 ans d innovation Reverse Proxy Protect High Availability Application Acceleration Standard Web App Security Advanced Web App Security XML Security User Security Distributivity Caching Deep Inspection White List Model Validation Client Certificates Active-Passive Compression Transformation Stateful XML Validation User Authentication Active-Active TCP Multiplexing Black List User Behavior Tracking Transformation SSO integration SSL Offloading Scoring List Advanced Detection Engines Black List Cookie Tracking Server Load- Balancing ICAP Support Virtual Patching Stateful Options Command Injection Engine Client Shield SOAP Attachments New (4.1) JSON security ACL 3/19/2014 Deny All /19/2014 DenyAll

26 Une gamme de WAF Le WAF «Plug & Protect» Parefeu pour Web Services Le WAF de nouvelle génération Solution de sécurité applicative «bout en bout» 3/19/2014 Deny All /19/2014 DenyAll

27 Sécurité applicative de bout en bout rweb + Client Shield Client Shield = module optionnel développé par Promon Protection contre les malware Man-in-the-Browser Lancement d une nouvelle instance du navigateur Contrôle de son exécution, blocage des opérations interdites Hooks, remote threads injections, keystrokes sniffing Déploiement transparent Pas de modification de l application Pas de droits d administrateur requis sur le poste client Pas de redirection du trafic en dehors de votre contrôle 3/19/2014 Deny All /19/2014 DenyAll

28 Choix du facteur de forme Machines virtuelles VMWare ESX 3.5 et 4.0 Amazon Web Services Microsoft Azure Hardware Serveurs lames Dell Logiciel DenyAll pré-installé Logiciel Linux kernel ou supérieur Testé sur Red Hat, Debian et Ubuntu 3/19/2014 Deny All /19/2014 DenyAll

29 DenyAll Manage Prenez le contrôle de votre sécurité 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

30 Console de Management Gestion centralisée des produits DenyAll Interface web sécurisée Produits Protect (sproxy, rxml et rweb) Distribution des tâches au sein de l organisation Inventaire et création des clusters, des applications Configuration des politiques de sécurité, d authentification et d accélération Monitoring de la performance et reporting centralisé Contrôle accru, TCO réduit Role Base Access Management Provisioning Monitoring Reporting 3/19/2014 Deny All /19/2014 DenyAll

31 Le patching virtuel (et ce qui vient après) 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

32 Patching Virtuel Politique WAF modifiée Vulnérabilité Identifiée Vulnérabilité non exploitable, ticket fermé! Patching virtuel beaucoup plus rapide que le processus traditionnel jours semaines mois années Patch système recommandé Modification du code recommandée Patch système appliqué Modification du code mis en œuvre Vulnérabilité non trouvée, ticket fermé Processus de remédiation de vulnérabilité traditionnel 3/19/2014 Deny All /19/2014 DenyAll

33 Patching Semi-Automatique Choix simples Automatique Performance maximum Sécurité maximum 3/19/2014 Deny All /19/2014 DenyAll

34 Identifier les applications non protégées Applications Web protégées Utilisateur légitime Pirate Application Web vulnérable 3/19/2014 Deny All /19/2014 DenyAll

35 Déployer un WAF avec politique de sécurité ad hoc Applications Web protégées Utilisateur légitime Pirate Application Web vulnérable 3/19/2014 Deny All /19/2014 DenyAll

36 Questions Réponses 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll

37 Merci! /19/2014 Deny All /19/2014 DenyAll