DenyAll, expert Français en sécurité applicative

DenyAll, expert Français en sécurité applicative GS Days 18 Mars 2014 3/19/2014 Deny All 2012 1 3/19/2014 DenyAll 2014 1

Les applications Sont devenues les composants critiques des systèmes d information modernes Les problèmes liés aux applications impactent réputation, CA et rentabilité Les applications critiques requièrent sécurité et performance optimale Sujet de préoccupation au sein des conseils d administration Confidenti alité Disponibilité Intégrité 3/19/2014 Deny All 2012 2 3/19/2014 DenyAll 2014 2

Au cœur du système d information Click on objects for details Private Cloud LAN Structured Corporate Data Outlook Web Access inotes Sharepoint Lyncs Google Apps Office 365 Webmail & Collaboration Applications Corporate Applications ERP Finance HR etc ebanking ecommerce esupport eadministration Corporate & Transactional Web Sites Service Oriented Applications Vertical applications Intra-banking Scada Mobile Apps etc Unstructured Corporate Data Public Cloud WAN Skip details 3/19/2014 Deny All 2012 3 3/19/2014 DenyAll 2014 3

Un système d information webisé Employés Clients Partenaires Fournisseurs Smartphones Tablets PCs Web Services 3/19/2014 Deny All 2012 4 3/19/2014 DenyAll 2014 4

Risques? Legitimate Users Hackers & Thieves 1. Espionage, vol de données 2. Destruction de données, défacement 3. Deni de service 4. Intrusion 3/19/2014 Deny All 2012 5 3/19/2014 DenyAll 2014 5

Causes principales Legitimate Users Hackers & Thieves 2. Attaques couche 7 Injections Cross Site Scripting Brute force Déni de service Vol de cookie etc 1. Infrastructure vulnérable Systèmes non patchés Applications non à jour Erreurs de codage Services mal configurés Mots de passe triviaux etc 3/19/2014 Deny All 2012 6 3/19/2014 DenyAll 2014 6

Réduire les risques Legitimate Users The Bad Guys 2 Filtrer le trafic Web entrant 1 Gérer pro-activement les vulnérabilités 3/19/2014 Deny All 2012 7 3/19/2014 DenyAll 2014 7

La solution DenyAll Configuration & reporting Manage Legitimate Users The Bad Guys 2 Protect Filtrer le trafic Web entrant 1 Detect Gérer pro-activement les vulnérabilités 3/19/2014 Deny All 2012 8 3/19/2014 DenyAll 2014 8

La course à l évolution Les risques évoluent Nouveaux langages et protocoles enrichissent l expérience des utilisateurs, mais créent de nouveaux risques JSON, REST, XML, HTML5, etc Les filtres traditionnels sont désactivés pour éviter les faux positifs Les attaquants ciblent la couche applicative Contournent ce qu il reste des contrôles de sécurité La sécurité doit évoluer Nouveau paradigme technologique : identifier la nature des requêtes, pas leur contenu Intégrer les outils de sécurité au cycle de développement Sécurité de «bout-en-bout» (du client au serveur) 3/19/2014 Deny All 2012 9 3/19/2014 DenyAll 2014 9

Gartner Marketclock Protection d infrastructure Mise à jour d Avril 2013 : WAFs déplacés dans la zone «choix» La gestion des vulnérabilités (VA) ajoutée dans la phase de choix 1. Les éditeurs spécialisés sont les premiers à introduire de nouvelles fonctions de sécurité et sont typiquement meilleurs en support que les fournisseurs d ADC 2. Les développeurs peuvent utiliser le WAF pour identifier les modifications à faire dans leur code 3. Les WAFs doivent s intégrer avec les outils de gestion des vulnérabilités (DAST) Les données VA peuvent être utilisées pour améliorer la granularité et l exactitude des contrôles de sécurité tels que WAFs et IPS 3/19/2014 Deny All 2012 10 3/19/2014 DenyAll 2014 10

15 ans d expertise en sécurité applicative Produits développés au sein de la Société Générale Création de la société en 2001 Stabilité financière Soutenue par Truffle Venture & Omnes Capital depuis 2004 Rentable depuis 2009, CA en hausse de 10% en 2012 Acquisition de VulnIT en 2012, d autres acquisitions à venir 40 employés 50% à la R&D 40% du CA à l Export Siège social à Paris, bureaux en Allemagne et à Singapour Partenaires en Europe, Afrique et Moyen-Orient, Asie, Amérique Latine Plus de 350 clients dans le monde 30% du CAC40 Plus de 30.000 applications Web protégées 3/19/2014 Deny All 2012 11 3/19/2014 DenyAll 2014 11

Des clients fidèles Financial Services Government / Public Energy & Industry Telco & Services Media, Retail & Transportation 3/19/2014 Deny All 2012 12 3/19/2014 DenyAll 2014 12

Reconnaissance du marché Les analyste reconnaissent DenyAll comme un acteur important du marché Tous les documents Gartner sur la sécurité des applications Rapport Forrester sur le WAF rweb certifié & qualifié par l ANSSI CSPN en Juin 2013 Certification Sécurité de Premier Niveau Seul WAF certifié et qualifié à ce jour Usage recommandé dans le secteur public et auprès des opérateurs d infrastructure vitale (OIV) 3/19/2014 Deny All 2012 13 3/19/2014 DenyAll 2014 13

Leader en innovation Sécurité applicative de nouvelle génération Moteurs de détection avancés Patching virtuel Sécurité applicative de bout en bout (Client Shield) Stratégie Cloud Amazon Web Services et Microsoft Azure Partenariat avec les fournisseurs Cloud Projet R&D «Application Security as a Service» 3/19/2014 Deny All 2012 14 3/19/2014 DenyAll 2014 14

Detect. Protect. Manage. 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 15 15

Gamme de produits Auditor Vulnerability Manager Edge Tester Detect Management Console Application Security Dashboard Manage Protect sproxy rxml rweb rweb with Client Shield 3/19/2014 Deny All 2012 16 3/19/2014 DenyAll 2014 16

DenyAll Detect Réduire la surface d attaque 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 17 17

Gestion des vulnérabilités Web Apps Systems Networks Databases File Shares WiFi Detect Asset Discovery Vulnerability Detection Reporting Découvertes des actifs de l infrastructure Applications, systèmes, composants réseau Identification des vulnérabilités Scanneurs Open Source et propriétaires Rapports concis, gestion des tickets Pour les équipes opérationnelles et de direction 3/19/2014 Deny All 2012 18 3/19/2014 DenyAll 2014 18

Une gamme de scanneurs Détection des vulnérabilités depuis l Internet, en mode SaaS Détection et correction des vulnérabilités depuis l intérieur du réseau, format machine virtuelle Scanneur de vulnérabilités portable, sur clé USB 3/19/2014 Deny All 2012 19 3/19/2014 DenyAll 2014 19

Des tests exhaustifs Asset Discovery Vulnerability Detection Reporting Detect Web Apps Systems Networks Databases File Shares WiFi Crawler Patch Mngt Patch Mngt Patch Mngt Authentication Authentication SQLi Configuration Authentication Authentication Configuration Configuration XSS Configuration Configuration Encryption LFI/RFI Encryption SSL FPD 3/19/2014 Deny All 2012 20 3/19/2014 DenyAll 2014 20

Une solution complète Site distant 1 Auditor @ Import VM Centrale Pas de connection VM distante Email Web Database DMZ Site principal Site distant 2 3/19/2014 Deny All 2012 21 3/19/2014 DenyAll 2014 21

DenyAll Protect Prévention des attaques modernes 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 22 22

Blocage en ligne et temps réel des attaques Legitimate Web Services Trafic Web/XML légitime autorisé Mail Server Database Server Legitimate User Network Firewall Protect Web Server Application Server Hacker Trafic Web/XML dangereux bloqué!! Web Services Bot Network File Server/Storage 3/19/2014 Deny All 2012 23 3/19/2014 DenyAll 2014 23

Une plateforme éprouvée Reverse Proxy Protect High Availability Application Acceleration Standard Web App Security Advanced Web App Security XML Security User Security Reverse proxy = sécurité maximale Rupture protocolaire, masquage de l infrastructure, inspection en profondeur Plateforme modulaire Produits packagés : sproxy, rxml, rweb Mise à jour par simple clé de licence 3/19/2014 Deny All 2012 24 3/19/2014 DenyAll 2014 24

15 ans d innovation Reverse Proxy Protect High Availability Application Acceleration Standard Web App Security Advanced Web App Security XML Security User Security Distributivity Caching Deep Inspection White List Model Validation Client Certificates Active-Passive Compression Transformation Stateful XML Validation User Authentication Active-Active TCP Multiplexing Black List User Behavior Tracking Transformation SSO integration SSL Offloading Scoring List Advanced Detection Engines Black List Cookie Tracking Server Load- Balancing ICAP Support Virtual Patching Stateful Options Command Injection Engine Client Shield SOAP Attachments New (4.1) JSON security ACL 3/19/2014 Deny All 2012 25 3/19/2014 DenyAll 2014 25

Une gamme de WAF Le WAF «Plug & Protect» Parefeu pour Web Services Le WAF de nouvelle génération Solution de sécurité applicative «bout en bout» 3/19/2014 Deny All 2012 26 3/19/2014 DenyAll 2014 26

Sécurité applicative de bout en bout rweb + Client Shield Client Shield = module optionnel développé par Promon Protection contre les malware Man-in-the-Browser Lancement d une nouvelle instance du navigateur Contrôle de son exécution, blocage des opérations interdites Hooks, remote threads injections, keystrokes sniffing Déploiement transparent Pas de modification de l application Pas de droits d administrateur requis sur le poste client Pas de redirection du trafic en dehors de votre contrôle 3/19/2014 Deny All 2012 27 3/19/2014 DenyAll 2014 27

Choix du facteur de forme Machines virtuelles VMWare ESX 3.5 et 4.0 Amazon Web Services Microsoft Azure Hardware Serveurs lames Dell Logiciel DenyAll pré-installé Logiciel Linux kernel 2.6.19 ou supérieur Testé sur Red Hat, Debian et Ubuntu 3/19/2014 Deny All 2012 28 3/19/2014 DenyAll 2014 28

DenyAll Manage Prenez le contrôle de votre sécurité 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 30 30

Console de Management Gestion centralisée des produits DenyAll Interface web sécurisée Produits Protect (sproxy, rxml et rweb) Distribution des tâches au sein de l organisation Inventaire et création des clusters, des applications Configuration des politiques de sécurité, d authentification et d accélération Monitoring de la performance et reporting centralisé Contrôle accru, TCO réduit Role Base Access Management Provisioning Monitoring Reporting 3/19/2014 Deny All 2012 31 3/19/2014 DenyAll 2014 31

Le patching virtuel (et ce qui vient après) 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 32 32

Patching Virtuel Politique WAF modifiée Vulnérabilité Identifiée Vulnérabilité non exploitable, ticket fermé! Patching virtuel beaucoup plus rapide que le processus traditionnel jours semaines mois années Patch système recommandé Modification du code recommandée Patch système appliqué Modification du code mis en œuvre Vulnérabilité non trouvée, ticket fermé Processus de remédiation de vulnérabilité traditionnel 3/19/2014 Deny All 2012 33 3/19/2014 DenyAll 2014 33

Patching Semi-Automatique Choix simples Automatique Performance maximum Sécurité maximum 3/19/2014 Deny All 2012 34 3/19/2014 DenyAll 2014 34

Identifier les applications non protégées Applications Web protégées Utilisateur légitime Pirate Application Web vulnérable 3/19/2014 Deny All 2012 35 3/19/2014 DenyAll 2014 35

Déployer un WAF avec politique de sécurité ad hoc Applications Web protégées Utilisateur légitime Pirate Application Web vulnérable 3/19/2014 Deny All 2012 36 3/19/2014 DenyAll 2014 36

Questions Réponses 3/19/2014 3/19/2014 3/19/2014 Deny All 2012 DenyAll 2014 DenyAll 2014 37 37

Merci! sdesaintalbin @denyall.com +33 1 46 20 96 21 3/19/2014 Deny All 2012 38 3/19/2014 DenyAll 2014 38