Zero Trust Security : protection des entreprises contre les cyberattaques et la sécurisation des données sensibles
« Zero Trust Security » est une approche de la sécurité qui consiste à n’avoir confiance, "par défaut", en aucune des demandes d’accès aux réseaux et données de l’entreprise, et même lorsque les requêtes proviennent du périmètre interne.
Aujourd’hui, la « Sécurité Zéro Confiance » apparaît comme la plus efficace des approches pour les entreprises cherchant à faire face aux cybermenaces ! Contrôler la sécurité de tous les accès aux données d’entreprise en conservant un temps d’exécution raisonnable et en préservant l’agilité des utilisateurs est impossible sans les bons outils.
Lors du Big Data World Paris, Excelerate Systems et Search Guard se proposent de présenter les tenants et aboutissants de ce thème de façon intelligible pour un public même non initié, puisque la promotion des bonnes pratiques fait partie de leur contribution à la lutte contre la cybercriminalité et à la protection des entreprises.
2. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
À propos
• AADEL BENYOUSSEF VP EUROPE @ EXCELERATE SYSTEMS
(REPRÉSENTANT M. JOCHEN KRESSIN, FONDATEUR DE FLORAGUNN GMBH)
• ÉDITEUR DE SEARCH GUARD™ , FONDÉ EN 2012
• SUITE DE SÉCURITÉ , DE CONFORMITÉ ET D’ALERTING POUR LA PILE ELASTIC
• BUREAU PRINCIPAL : BERLIN, ALLEMAGNE
• BUREAUX PARTENAIRES : SEATTLE, NEW YORK, MIAMI, BORDEAUX, MEXICO
4. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
POURQUOI CE SUJET ?
Nous stockons tous des données sensibles dans nos systèmes informatiques:
- Journaux des Systèmes et des Applications de nos S.I
- Renseignements d’identification de personnes : données utilisateurs ou
clients
- Informations financières : données comptables ou de facturations
- Informations de santé : données médicales sur les patients
- et bien d’autres données de trafic web, de SEO, de marketing…etc.
La majorité de ces systèmes offrent des dispositifs de sécurité natives ou
prêtes à l'emploi, MAIS !
- Elasticsearch n'offrait pas de sécurité prête à l'emploi
Question naturelle : Comment sécuriser Elasticsearch ? Les réponses font peur...
7. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
LE PÉRIMÈTRE DE SÉCURITÉ
HTTPS
INTERNET
PAS ou PEU FIABLE
DATA LAKE
DONNÉES SENSIBLES
INTRANET
PÉRIMÈTRE DE CONFIANCE
HTTPS
8. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
1. On ne peut pas faire confiance au trafic venant de l'extérieur
2. La circulation des données à l'intérieur du périmètre est digne de confiance
3. L'accès au périmètre interne peut être contrôlé
HYPOTHÈSES
9. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Nous assumons tous nos croyances !
→Que les VPN, les Pare-Feu et les Proxy sont suffisants
→Qu’à tout moment, nous savons qui a accès aux données.
→Que le trafic à l'intérieur du VPN n'a pas besoin d'être chiffré de bout en bout
→et finalement : que les intrusions seront détectées !
HYPOTHÈSES
10. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Est-ce que ces mécanismes de sécurité fonctionnent ?
→Si cela fonctionne, pourquoi assistons-
nous à des fuites de données ?
LA RÉALITÉ
11. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
@ Exactis : Près de 340 millions de dossiers personnels ont fait l'objet de fuites
→ Une banque de données de 2 To qui stockait près de 340 millions de dossiers individuels
• Cluster Elasticsearch accessible au public
• Aucune Sécurité du Périmètre
https://siecledigital.fr/2018/07/02/exactis-expose-environ-340-millions-de-donnees-personnelles-sur-internet/
@ Yves Rocher : Les données de 2,5 millions de clients exposées
→ 6 millions de commandes exposées : « Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l’occasion, on a ouvert un serveur
d’intégration pour procéder à des tests, qui n’était pas assez protégé »
• Cluster Elasticsearch non sécurisé mis en place / opéré par Aliznet
https://www.20minutes.fr/high-tech/2594891-20190902-yves-rocher-donnees-25-millions-clients-exposes-pendant-heures-cause-faille-informatique
@ Apple : Brèche dans la protection des données Apple
→ Accès aux données internes accordé aux partenaires commerciaux. Les données clients volées dans la base de
données interne d'Apple par 22 entreprises travaillant comme distributeurs en Chine et vendues sur le marché noir
chinois pour 7 millions USD
• Attaquant à l'intérieur du périmètre
https://www.nytimes.com/2017/06/09/business/china-apple-personal-data-sold.html
LA RÉALITÉ
12. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
@ Best Western : 179 Go de détails des réservations des clients. Les données des plates-
formes clients externes sont également exposées.
→Cluster Elasticsearch non sécurisé, hébergé sur AWS
• Comment définit-on le périmètre ? https://siliconangle.com/2019/10/21/customer-data-best-western-hotels-exposed-massive-data-breach/
@OneLogin : Plate-forme de gestion des mots de passe et des identités
→L'attaquant a obtenu les clés de la plate-forme hébergée sur AWS "d'un hôte intermédiaire".
L'attaquant a probablement pu déchiffrer certaines informations
• Il a suffit de voler une seule clé
https://www.zdnet.com/article/onelogin-security-chief-new-details-data-breach/
@People Data Labs et OxyData : des DataBrookers ! 4To de données, accessibles à tous
par un simple Navigateur Web à l’adresse http://35.1XX.X8.1X5:9200
→Les données de plus de 1,2 milliard de personnes uniques. (des noms, des adresses e-mail, des numéros de téléphone
et des informations de profil Facebook et/ou LinkedIn.)
→Cluster Elasticsearch non sécurisé, hébergé sur AWS et GPC
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
LA RÉALITÉ
13. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
« Je ne pense pas que c'était intentionnel,
c’est une erreur humaine »
…nous disent à chaque fois les responsables.
VRAIMENT ?
14. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Arnaque via une InsideAttack
https://www.lebigdata.fr/trend-micro-employe-traitre
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/
« un employé a vendu les données de 120 000 clients du géant de la
cybersécurité »
Trend Micro annonce un ” incident de sécurité ” ayant mené au vol de données
personnelles de près de 120 000 clients par un ancien employé.
Ces informations auraient été extraites d’une base de données du service client,
sans qu’un hack extérieur n’ait été perpétré.
15. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
→Partenaires, consultants, pigistes, entrepreneurs à temps partiel, etc.
→Bureaux distants / Espaces de coworking
Travailleurs à distance, télétravail
→ Appareils / BYOD
Ordinateurs portables, smartphones, tablettes
QU'EST-CE QUI A CHANGÉ ?
16. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
→ Cloud computing
→ Stockage en ligne (Drive, OneDrive, iCloud…)
→ Microservices
→ SaaS / PaaS / IaaS
→ Containerisation
→ Docker, Kubernetes etc.
Comment appliquer la sécurité sur IP des Systèmes / clusters décentralisés / Internet
des objets…etc.
QU'EST-CE QUI A CHANGÉ ?
Comment faire face aux menaces?
20. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
→Les entreprises n'ont plus le contrôle total
→ Explosion d'appareils et de possibilités de travail à distance
→ Les données et les services se déplacent vers le cloud
→ Internet des objets
→Les attaques internes ne cessent d'augmenter
→ 60% des attaques proviennent de l'intérieur (étude IBM 2016)
→ Augmentation des attaques par le biais de l'ingénierie sociale
→Perméabilité entre l’environnement numérique personnel et
professionnel
FACT CHECK !
26. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
TRAFFIC NON CHIFFRÉ: ACCÈS CLIENTS
Internet / Office / …
HTTPS
Data Lake
Elasticsearch
HTTP
Proxy / Loadbalancer
Terminates TLS
27. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Internet / Office / …
HTTPS
Data Lake
Elasticsearch
HTTPS
Proxy
TLS Passthrough
Implements ACL
URL based
Index Alias
Wildcard index names
Date math index names
Bulk API
Multi Get / Multi Search
https://sgssl-0.example.com:9200/mydata-*/_search
https://sgssl-0.example.com:9200/mydata/_search
CONTRÔLE D'ACCÈS EN DEHORS DU DATASTORE
29. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
24.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Elasticsearch
Evil Node
Data Replication
Data Replication
TRAFFIC NON CHIFFRÉ: INTER CLUSTER
30. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
25.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Evil Employee
https://sgssl-0.example.com:9200/logs/_search
Quelles données ont été consultées ?
Quand y a-t-il eu accès ?
Qui y a accédé ?
PAS DE JOURNALISATION / MONITORING
31. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
26.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Evil Employee
https://sgssl-0.example.com:9200/*/_search
Quelles données ont été consultées ?
Quand y a-t-il eu accès ?
Qui y a accédé ?
MOINDRE PRIVILÈGE
33. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
→Aucun trafic réseau n'est digne de confiance
→ Indépendamment de l'appareil à partir duquel on accède à l’informatique de l’entreprise.
→Aucune IP / Port / Application n'est digne de confiance
→ Cloud, Conteneurs, IoT
→ L'approche traditionnelle de pare-feu ou VPN est imparfaite
→Aucun utilisateur n'est digne de confiance
→ Méfiez-vous des attaques intérieures
NOUVEAU PARADIGME !
34. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
→Déplacer la sécurité à l'endroit où vivent les données
→ Pas de services non garantis
→ Pas même dans un VPN
→Pas de trafic non chiffré, où que ce soit
→ Pas même dans un VPN
→Supposer que les attaquants soient déjà à l’intérieur du périmètre
→ Ne jamais faire confiance, toujours vérifier
→Appliquer les stratégies du moindre privilège
→Inspecter et consigner tout le trafic
NOUVEAU PARADIGME ? – RESOLUTIONS !
37. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Sécurité signifie Open Source & Open Code par définition
Notre mission est de fournir des solutions de sécurité haut de gamme et innovantes pour l'Elastic Stack
- comme nous le faisons depuis 2015 -
https://search-guard.com/search-guard-alive-and-kicking/
38. @SearchGuard #OpenSource#Elasticsearch #Kibana #Security #Compliance#Alerting
Merci à tous nos utilisateurs et contributeurs de Search Guard™.
Vous êtes plus de 180 clients dans plus de 30 pays !
Merci pour votre soutien et votre implication.
Nous continuerons à vous fournir la meilleure suite de sécurité pour le stack ELK.
Merci de votre participation
Rendez-vous
Stand B93