Le 29.10.2015, Kyos a organisé un petit déjeuner sur Genève autour du thème "Simplifiez la sécurisation de vos données par chiffrement transparent"
En savoir plus :
--------------------
Le chiffrement des données n’est plus une simple préconisation, c’est une nécessité pour toutes les entreprises.
La solution Vormetric a une approche innovante de chiffrement transparent qui permet notamment :
- De sécuriser le système d’information en chiffrant les fichiers, les applications, les bases de données et les sauvegardes de façon transparente pour les utilisateurs, sans changer les outils de travail.
- De mettre en place une séparation des rôles de sorte que seuls les utilisateurs ayant besoin d’accéder aux contenus critiques peuvent y accéder sans empêcher les utilisateurs privilégiés d’effectuer les travaux d’administration.
- De prévenir des attaques de type « Side-Channel » sur les données.
- Et de protéger les données critiques grâce aux solutions de tokenisation, de datamasking ainsi que de chiffrement d’applications, y compris dans le cloud.
Ceci permet notamment de pouvoir répondre au besoin de conformité de la FINMA, en garantissant que les données clients sont protégées contre des accès non-sécurisés.
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
Simplifiez la sécurisation de vos données par chiffrement transparent
1. Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Simplifiez la sécurisation de vos données par
chiffrement transparent
Fabien Jacquier – Kyos
Restreinte
1.0
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
2. Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Implanté à Genève depuis novembre 2002
• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013
• Entreprise à taille humaine : 3 associés + 25 employés
• Des valeurs communes :
‒ Sens du service
‒ Ethique
‒ Simplicité
• Société autofinancée et indépendante
• Une signature : « embedded security »
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
2
3. Expert sécurité, réseau et services informatiques
Agenda
La problématique de la protection des
données
Fabien JACQUIER - Kyos
‐ La problématique de la
protection des données
‐ le chiffrement
transparent de Vormetric
‐ Démonstration avec
simulation d’attaque
‐ Discussion ouverte
29.10.20153
Simplifiez la sécurisation de vos données par chiffrement transparent
4. Kyos SARL
L’attaque de TalkTalk
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
4
5. Kyos SARL
Quelles données ont été accédées ?
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
5
• Nom
• Adresse
• Date de naissance
• Email
• Numéros de téléphones
• Détails du compte TalkTalk
• Données de carte de credit
• Données de compte bancaire
• Mots de passe ?
6. Kyos SARL
La législation anglaise
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
6
7. Kyos SARL
Payment Card Industry (PCI) Data Security Standard v3.0
Requirement 3: Protect stored cardholder data – 3.4
Render PAN unreadable anywhere it is stored (including on portable digital media,
backup media, and in logs) by using any of the following approaches:
• One-way hashes based on strong cryptography, (hash must be of the entire PAN)
• Truncation (hashing cannot be used to replace the truncated segment of PAN)
• Index tokens and pads (pads must be securely stored)
• Strong cryptography with associated key-management processes and procedures.
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
7
Eradication
Obfuscation
Chiffrement
8. Kyos SARL
Appendix 3 to the FINMA Circular 2008/21
Principle 3: Location and access to data
Archiving and accessing data from abroad
Should CID be archived outside of Switzerland or if it can be accessed from abroad, the institution must adequately
mitigate the increased risks with respect to client data protection. CID must be adequately protected (e.g.
anonymized, encrypted or pseudonymized).
Principle 4: Security standards for infrastructure and technology
In order to ensure the confidentiality of CID, institutions must evaluate protective measures (e.g. encryptions) and if
necessary, implement these at the following levels:
• Security of CID on devices or end points (e.g. PCs, notebooks, portable data storage and mobile devices);
• Security during the transfer of CID (e.g. within a network or between various locations);
• Security of stored CID (e.g. on servers, databases or backup media).
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
8
9. Kyos SARL
Les précautions à l’implémentation de chiffrement
• Complexité de la gestion et du
stockage des clés de chiffrement
• Complexité du chiffrement de BDD
avec plusieurs instances utilisant les
même clés
• Lenteur et perte de performance
• Besoin de modification des systèmes
existants
• Déploiement d’un agent sur les
postes clients
• Contraintes d’administration
• Contraintes pour l’utilisateur
• Risque de perte des clés
• Peur de perdre les données suite à
une mauvaise manipulation
• Les données restent accessibles au
moment où elles sont déchiffrées /
utilisées
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
9
10. Expert sécurité, réseau et services informatiques
Agenda
Protégez vos fichiers, applications, bases
de données et sauvegardes par le
chiffrement transparent de Vormetric
Michael Loger - Vormetric
‐ La problématique de la
protection des données
‐ le chiffrement
transparent de Vormetric
‐ Démonstration avec
simulation d’attaque
‐ Discussion ouverte
29.10.201510
Simplifiez la sécurisation de vos données par chiffrement transparent
22. LechiffrementtransparentdeVormetric
Why Encryption / Tokenization?
= Need to Know principle
Appendix 3 to the FINMA Circular
2008/21
PCI-DSS
BDSG
SOX
HIPAA
GLBA
BASEL II Accord
EURO-SOX
FDA Title 21 CFR Part 11
95/46/EC EU Directive
PIPEEDA
UK DPA
29.10.2015
26. LechiffrementtransparentdeVormetric
of breaches are reported
by third parties
• Encryption• Manage Key’s
• Manage Policy’s
• Audit Access
• Strong (AES 256)
• Transparent
(MetaClear™, US Pat)
Available as:
- Virtual Appliance
- Physical Appliance (FIPS 140-2 Level 2 Certified)
- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)
Vormetric Data Security Manager (DSM)
29.10.2015
27. LechiffrementtransparentdeVormetric
File System Agents for:
- AIX
- HPUX
- Solaris
- OEL
- Red Hat
- SUSE
- Ubuntu
- Windowshes are
reported
by third parties
• Encryption• Manage Key’s
• Manage Policy’s
• Audit Access
• Strong (AES 256)
• Transparent
(Meta Data Clear, US Pat)
Available as:
- Virtual Appliance
- Physical Appliance (FIPS 140-2 Level 2 Certified)
- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)
Vormetric Data Security Manager (DSM)
29.10.2015
28. LechiffrementtransparentdeVormetric
29.10.2015
Vormetric Data Security Platform
Single Platform– Multiple Solutions
Vormetric
Transparent Encryption
Unstructured
Files
Structured
Databases
Big Data
Physical
Vormetric
Data Security Manager
VM
Virtual
• Key and Policy Manager
or
Vormetric
Key Management
• KMIP Compliant
• Oracle and SQL Server TDE
• Certificate Management
• Object Store, e.g. passwords
Vormetric
Security Intelligence
• Splunk
• HP ArcSight
• IBM QRadar
• LogRhythm
Environment Support
Public Cloud
Private Cloud
Hybrid
Data
Centers
• File and Volume Level Encryption
• Access Control
Name: Jon Dough
SS: if030jcl
PO: Jan395-2014
Vormetric
Application Encryption
Data at Rest
Cloud
Apps
Big Data
• Flexible – Environment
& Field Encryption
Vormetric
Tokenisation &
Datamasking
• Tokenisation
• Datamasking
Cloud-Gateway
• Box
• S3
• OneDrive
• …
29. LechiffrementtransparentdeVormetric Making Encryption Efficient
2% overhead at 70%
system utilization
4% at 100%
Benefits
•More CPU cycles for work
•More applications
•More data protection
•MS SQL TDE is 28%
29.10.2015
30. LechiffrementtransparentdeVormetric
29.10.2015
10/29/201520
MetaClear™ Encryption – Vormetric Patent (US 6678828 B1)
Name: J Smith
Credit Card #:
6011579389213
Exp Date: 04/04
Bal: $5,145,789
Social Sec No:
514-73-8970
Name: Jsmith.doc
Created: 6/4/99
Rights: 40755
Clear Text
File Data
File System
Metadata
dfjdNk%(Amg
8nGmwlNskd 9f
Nd&9Dm*Ndd
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
Name: Jsmith.doc
Created: 6/4/99
Rights: 40755
MetaClear
Encryption
Block-Level
Encryption
fAiwD7nb$
Nkxchsu^j2
3nSJis*jmSL
dfjdNk%(Amg
8nGmwlNskd 9f
Nd&9Dm*Ndd
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
Secure confidential Information without affecting Data Management
High-Performance Encryption (AES NI)
Privileged User can work as before, but can’t read confidential Data.
31. LechiffrementtransparentdeVormetric
29.10.2015
10/29/201521
Empower Data security with more Security layers
Secure
• Encryption
• AES 256
• 3DES
• RSA 4096
• ARIA 256
Authorize User
• Authorize
Authentication
Path
• Define if it is
• Full Authorized
• Denied
• Only see
metadata
Authorize Process
• Authorize Name
• Authorize Path
• Authorize
Signature
32. LechiffrementtransparentdeVormetric
29.10.2015
22
Controlling only the User is not enough!
Limit Daemon/Service user to processes they should use
Detect and prevent SU/SUDO Access
Prevent misuses of Service Accounts
User Authorized
User
Privileged
User
Unauthorized
User
Daemon/Service
User
Process ALL Only Admin
Tools
ALL Daemon Process
See File and
File Meta Data
De/Encrypt File
Result See File and
Content of the
File
See File, can’t
read Content
Can’t see File
or access
content
See File and
Content of the
File
33. LechiffrementtransparentdeVormetric
29.10.2015
Vormetric Solution
Firewall Your Data
Issue
Data is exposed to the
environment where it resides
Vormetric Solution
Vormetric Policy ≈ Firewall Rules
Criteria and Effect-based
# User Process Action Effects
1 MSSQL MSSQLServer any permit, apply key
2 root admin_tools read permit, audit
3 any any any deny, audit
23
Copyright 2013 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
36. LechiffrementtransparentdeVormetric
29.10.2015
Data at Rest
Encryption
Vormetric Full Disk
Encryption
& SED*1
Container
based
Encryption
File Folder
Encryption
TDE
(Database
Only)
Protect switched off
State
Protect running System
Prevent Privileged User
SoD (*2)
Prevent unauthorized
Processes n/a
Prevent misuse of an
Account n/a
Detect SU/SUDO (*2)
n/a
Allow User Access to File
without giving Access to
content
n/a
Encrypt Backup on any
Solution
*1 SED= Self Encrypting Drives
*2 Under normal circumstances Container contains authorization outside OS Level user management
37. LechiffrementtransparentdeVormetric
29.10.2015Data Security has to be Simple
Transparent
Transparent to Business Process
Transparent to Apps / Users
Neutral Data Type
Strong
Firewall Your Data
Protect Privileged User Access
Restrict Users and Apps
Easy
Easy to Implement
Easy to Manage
Easy to Understand
Efficient
Minimal Performance Impact
Rational SLAs
Multiple Environments Perform
TRANSPARENT STRONG
EASY EFFICIENT
39. Expert sécurité, réseau et services informatiques
Agenda
Démonstration
avec simulation d’attaque
Martino Dell’Ambrogio - Kyos
‐ La problématique de la
protection des données
‐ le chiffrement
transparent de Vormetric
‐ Démonstration avec
simulation d’attaque
‐ Discussion ouverte
29.10.201539
Simplifiez la sécurisation de vos données par chiffrement transparent
40. Expert sécurité, réseau et services informatiques
Kyos SARL
Vormetric Data Security Management (DSM)
Introduction à la démonstration
Simplifiez la sécurisation de vos données par chiffrement transparent
Démonstrationavecsimulationd’attaque
41. Kyos SARL
Un serveur applicatif et sa base de données
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
41
Démonstrationavecsimulationd’attaque
VormetricDataSecurityManagement
Apache MySQL
Fichiers Fichiers
42. Kyos SARL
Les consommateurs et leurs accès
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
42
Démonstrationavecsimulationd’attaque
VormetricDataSecurityManagement
Apache MySQL
Fichiers Fichiers
Usage
Gestion
Client
Système
DBA
Déploiement
Backup
Audit
43. Kyos SARL
Exemple d’attaque RCE (Remote Command Execution)
1. Un attaquant exploite une faille
PHP pour exécuter du code
2. Dans les fichiers d’Apache il lit
les données d’accès MySQL
3. Grâce à cet accès il peut
exfiltrer toues les données
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
43
Démonstrationavecsimulationd’attaque
VormetricDataSecurityManagement
Apache MySQL
Fichiers Fichiers
Usage Client
44. Kyos SARL
La solution Vormetric
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
44
Démonstrationavecsimulationd’attaque
VormetricDataSecurityManagement
Apache MySQL
Fichiers Fichiers
Usage
Gestion
Client
Système
DBA
Déploiement
Backup
Audit
DSM
Agent FS
45. Expert sécurité, réseau et services informatiques
Kyos SARL
Passons à la pratique
Simplifiez la sécurisation de vos données par chiffrement transparent
Démonstrationavecsimulationd’attaque
46. Kyos SARL
4 étapes
1- Afficher la
configuration
DSM pour
Apache
2- Tenter
d’exploiter
une faille
RCE pour
exfiltrer les
données
3- Appliquer
une
configuration
permissive
4- Retenter
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
46
Démonstrationavecsimulationd’attaque
Passonsàlapratique
47. Kyos SARL
GO
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
47
Démonstrationavecsimulationd’attaque
Passonsàlapratique
48. Expert sécurité, réseau et services informatiques
Agenda
Discussion ouverte
‐ La problématique de la
protection des données
‐ le chiffrement
transparent de Vormetric
‐ Démonstration avec
simulation d’attaque
‐ Discussion ouverte
Simplifiez la sécurisation de vos données par chiffrement transparent
29.10.201548
49. Kyos SARL
Rien ne vaut d’être parmi nous pour partager ses expériences…
50. Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Avenue Rosemont, 12 bis
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci
Simplifiez la sécurisation de vos données par chiffrement transparent