simplifiez la sécurisation de vos données par chiffrement transparent

Expert sécurité, réseau et services informatiques

Version :

Date :

Diffusion :

Simplifiez la sécurisation de vos données par chiffrement transparentFabien Jacquier – Kyos

Restreinte

1.0

29.10.2015

Simplifiez la sécurisation de vos données par chiffrement transparent

Kyos SARL

Kyos en quelques mots

• Expert sécurité, réseau et services informatiques

• Implanté à Genève depuis novembre 2002

• Fusion par absorption avec la société Spacecom, spécialiste réseau, en juin 2013

• Entreprise à taille humaine : 3 associés + 25 employés

• Des valeurs communes :‒ Sens du service

‒ Ethique

‒ Simplicité

• Société autofinancée et indépendante

• Une signature : « embedded security »

29.10.2015


2


Agenda

La problématique de la protection des donnéesFabien JACQUIER - Kyos

‐ La problématique de la protection des données

‐ le chiffrement transparent de Vormetric

‐ Démonstration avec simulation d’attaque

‐ Discussion ouverte

29.10.20153


Kyos SARL

L’attaque de TalkTalk29.10.2015


4

Kyos SARL

Quelles données ont été accédées ?29.10.2015


5

• Nom

• Adresse

• Date de naissance

• Email

• Numéros de téléphones

• Détails du compte TalkTalk

• Données de carte de credit

• Données de compte bancaire

• Mots de passe ?

Kyos SARL

La législation anglaise29.10.2015


6

Kyos SARL

Payment Card Industry (PCI) Data Security Standard v3.0

Requirement 3: Protect stored cardholder data – 3.4Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:

• One-way hashes based on strong cryptography, (hash must be of the entire PAN)

• Truncation (hashing cannot be used to replace the truncated segment of PAN)

• Index tokens and pads (pads must be securely stored)

• Strong cryptography with associated key-management processes and procedures.

29.10.2015


7

Eradication

Obfuscation

Chiffrement

Kyos SARL

Appendix 3 to the FINMA Circular 2008/21

Principle 3: Location and access to dataArchiving and accessing data from abroad

Should CID be archived outside of Switzerland or if it can be accessed from abroad, the institution must adequately mitigate the increased risks with respect to client data protection. CID must be adequately protected (e.g. anonymized, encrypted or pseudonymized).

Principle 4: Security standards for infrastructure and technologyIn order to ensure the confidentiality of CID, institutions must evaluate protective measures (e.g. encryptions) and if necessary, implement these at the following levels:

• Security of CID on devices or end points (e.g. PCs, notebooks, portable data storage and mobile devices);

• Security during the transfer of CID (e.g. within a network or between various locations);

• Security of stored CID (e.g. on servers, databases or backup media).

29.10.2015


8

Kyos SARL

Les précautions à l’implémentation de chiffrement

• Complexité de la gestion et du stockage des clés de chiffrement

• Complexité du chiffrement de BDD avec plusieurs instances utilisant les même clés

• Lenteur et perte de performance• Besoin de modification des systèmes

existants• Déploiement d’un agent sur les

postes clients• Contraintes d’administration• Contraintes pour l’utilisateur

• Risque de perte des clés• Peur de perdre les données suite à

une mauvaise manipulation• Les données restent accessibles au

moment où elles sont déchiffrées / utilisées

29.10.2015


9


AgendaProtégez vos fichiers, applications, bases de données et sauvegardes par le chiffrement transparent de VormetricMichael Loger - Vormetric





29.10.201510


Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Vormetric Data Security

Frank Weisel - RSD DACH

Michael Loger - Sen. SE DACH

Vormetric, Inc.

10/2015

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Data SecurityWhat we need!

Availability

Integrity

Confidentiality

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Data SecurityConfidentiality = Need to know principle

IntegrityConfidentiality

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Why Encryption / Tokenization?Need to Know principle!

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Why Encryption / Tokenization?Need to Know principle!

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Why Encryption / Tokenization?

= Need to Know principle

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Why Encryption / Tokenization?

= Need to Know principle

Appendix 3 to the FINMA Circular

2008/21

PCI-DSS

BDSG

SOX

HIPAA

GLBA

BASEL II Accord

EURO-SOX

FDA Title 21 CFR Part 11

95/46/EC EU Directive

PIPEEDAUK DPA

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

Copyright 2014 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.

Vormetric Platform and Products

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

<1%

94%

Serverslaptops

Servers

2012 DATA BREACH INVESTIGATION REPORT

Records Compromised

Records Compromised

Data Is The Target …Server Data = Biggest Target

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

of breaches are reported by third parties

median number of days advanced attackers are on the network before being detected Data = Money

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

of breaches are reported by third parties

• Encryption• Manage Key’s

• Manage Policy’s

• Audit Access

• Strong (AES 256)

• Transparent (MetaClear™, US Pat)

Available as:

- Virtual Appliance

- Physical Appliance (FIPS 140-2 Level 2 Certified)

- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)

Vormetric Data Security Manager (DSM)29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

File System Agents for:

- AIX- HPUX- Solaris- OEL- Red Hat- SUSE- Ubuntu- Windowshes are

reported by third parties• Encryption• Manage Key’s

• Manage Policy’s

• Audit Access

• Strong (AES 256)

• Transparent (Meta Data Clear, US Pat)

Available as:

- Virtual Appliance

- Physical Appliance (FIPS 140-2 Level 2 Certified)

- Physical Appliance with HSM (FIPS 140-2 Level 3 Certified)

Vormetric Data Security Manager (DSM)29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

Vormetric Data Security PlatformSingle Platform– Multiple Solutions

Vormetric Transparent Encryption

Unstructured Files

StructuredDatabases

Big Data

Physical

Vormetric Data Security Manager

VMVirtual

• Key and Policy Manager

or

Vormetric Key Management

• KMIP Compliant• Oracle and SQL Server TDE• Certificate Management• Object Store, e.g. passwords

VormetricSecurity Intelligence

• Splunk• HP ArcSight• IBM QRadar• LogRhythm

Environment Support

Public Cloud

Private Cloud

Hybrid

Data Centers

• File and Volume Level Encryption• Access Control

Name: Jon Dough

SS: if030jcl

PO: Jan395-2014

VormetricApplication Encryption

Data at RestCloud

Apps

Big Data

• Flexible – Environment& Field Encryption

VormetricTokenisation & Datamasking

• Tokenisation• Datamasking

Cloud-Gateway

• Box• S3• OneDrive• …

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric Making Encryption Efficient

2% overhead at 70%

system utilization

4% at 100%

Benefits

•More CPU cycles for work

•More applications

•More data protection

•MS SQL TDE is 28%

29.10.2015

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

10/29/201520

MetaClear™ Encryption – Vormetric Patent (US 6678828 B1)

Name: J Smith

Credit Card #:

6011579389213

Exp Date: 04/04

Bal: $5,145,789

Social Sec No:

514-73-8970

Name: Jsmith.doc

Created: 6/4/99

Rights: 40755

Clear Text

File Data

File System

Metadata

dfjdNk%(Amg

8nGmwlNskd 9f

Nd&9Dm*Ndd

xIu2Ks0BKsjd

Nac0&6mKcoS

qCio9M*sdopF

Name: Jsmith.doc

Created: 6/4/99

Rights: 40755

MetaClear

Encryption

Block-Level

Encryption

fAiwD7nb$

Nkxchsu j2

3nSJis*jmSL

dfjdNk%(Amg

8nGmwlNskd 9f

Nd&9Dm*Ndd

xIu2Ks0BKsjd

Nac0&6mKcoS

qCio9M*sdopF

Secure confidential Information without affecting Data Management

High-Performance Encryption (AES NI)

Privileged User can work as before, but can’t read confidential Data.

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

10/29/201521

Empower Data security with more Security layers

Secure

• Encryption

• AES 256

• 3DES

• RSA 4096

• ARIA 256

Authorize User

• Authorize Authentication Path

• Define if it is

• Full Authorized

• Denied

• Only see metadata

Authorize Process

• Authorize Name

• Authorize Path

• Authorize Signature

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

22

Controlling only the User is not enough!

Limit Daemon/Service user to processes they should use

Detect and prevent SU/SUDO Access

Prevent misuses of Service Accounts

User Authorized User

Privileged User

UnauthorizedUser

Daemon/ServiceUser

Process ALL Only Admin Tools

ALL Daemon Process

See File and File Meta Data

De/Encrypt File

Result See File and Content of the File

See File, can’t read Content

Can’t see File or access content

See File and Content of the File

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015Vormetric SolutionFirewall Your Data

IssueData is exposed to the

environment where it resides

Vormetric Solution Vormetric Policy ≈ Firewall Rules

Criteria and Effect-based

# User Process Action Effects

1 MSSQL MSSQLServer any permit, apply key

2 root admin_tools read permit, audit

3 any any any deny, audit

23


Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015Vormetric SolutionFirewall Your Data

24


Policy Key Target Protected

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015Vormetric Data Encryption

WebLogicIIS Apache

Custom AppsERP CRM CMSPayments

Copyright © 2010 Vormetric, Inc. - Proprietary and Confidential. All Rights Reserved.25

“Future scalability to apply this solution where additional

needs may arise was a significant consideration”

- Thomas Doughty, CISO, Prudential • Log files• Password files• Configuration files• Archive

• Log files• Password files• Configuration files• Archive

• Data files• Transaction logs• Exports• Backup

• File shares• Archive• Content repositories• Multi-media

DB2 Oracle MySQLSybaseSQL

OthersFile Servers FTP Servers Email Servers

CLOUD

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

Data at RestEncryption

Vormetric Full Disk Encryption& SED*1

Container basedEncryption

File FolderEncryption

TDE (Database Only)

Protect switched off State

Protect running System

Prevent Privileged User

SoD (*2)

Prevent unauthorizedProcesses n/a

Prevent misuse of an Account n/a

Detect SU/SUDO (*2)n/a

Allow User Access to File without giving Access to content

n/a

Encrypt Backup on any Solution

*1 SED= Self Encrypting Drives

*2 Under normal circumstances Container contains authorization outside OS Level user management

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015Data Security has to be Simple

TransparentTransparent to Business Process

Transparent to Apps / Users

Neutral Data Type

StrongFirewall Your Data

Protect Privileged User Access

Restrict Users and Apps

EasyEasy to Implement

Easy to Manage

Easy to Understand

EfficientMinimal Performance Impact

Rational SLAs

Multiple Environments Perform

TRANSPARENT STRONG

EASY EFFICIENT

Le c

hif

frem

ent

tran

spar

ent

de

Vo

rmet

ric

29.10.2015

World-Class Brands Rely on Vormetric for Advanced Data-Centric Security Solutions



Agenda

Démonstrationavec simulation d’attaqueMartino Dell’Ambrogio - Kyos





29.10.201539



Kyos SARL

Vormetric Data Security Management (DSM)Introduction à la démonstration


Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Kyos SARL

Un serveur applicatif et sa base de données29.10.2015


41

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Vo

rmet

ric

Dat

a Se

curi

ty M

anag

emen

t

Apache MySQL

Fichiers Fichiers

Kyos SARL

Les consommateurs et leurs accès29.10.2015


42

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Vo

rmet

ric

Dat

a Se

curi

ty M

anag

emen

t

Apache MySQL

Fichiers Fichiers

Usage

Gestion

Client

Système

DBA

Déploiement

Backup

Audit

Kyos SARL

Exemple d’attaque RCE (Remote Command Execution)

1. Un attaquant exploite une faille PHP pour exécuter du code

2. Dans les fichiers d’Apache il lit les données d’accès MySQL

3. Grâce à cet accès il peut exfiltrer toues les données

29.10.2015


43

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Vo

rmet

ric

Dat

a Se

curi

ty M

anag

emen

t

Apache MySQL

Fichiers Fichiers

Usage Client

Kyos SARL

La solution Vormetric29.10.2015


44

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Vo

rmet

ric

Dat

a Se

curi

ty M

anag

emen

t

Apache MySQL

Fichiers Fichiers

Usage

Gestion

Client

Système

DBA

Déploiement

Backup

AuditDSM

Agent FS


Kyos SARL

Passons à la pratique


Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Kyos SARL

4 étapes

1- Afficher la configuration

DSM pour Apache

2- Tenter d’exploiter une faille RCE pour

exfiltrer les données

3- Appliquer une

configuration permissive

4- Retenter

29.10.2015


46

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Pass

on

sà

la p

rati

qu

e

Kyos SARL

GO29.10.2015


47

Dém

on

stra

tio

nav

ec s

imu

lati

on

d’a

ttaq

ue

Pass

on

sà

la p

rati

qu

e


Agenda

Discussion ouverte






29.10.201548

Kyos SARL

Rien ne vaut d’être parmi nous pour partager ses expériences…


Contact us

Kyos SARL

Avenue Rosemont, 12 bis1208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]

Merci


simplifiez la sécurisation de vos données par chiffrement transparent

Technology