Cyber-criminels , hackers, concurrents : ils ralentissent votre site web mais ne commanderont jamais vos services et produits ! Dans cette présentation nous indiquons les bonnes pratiques (et pièges à éviter) afin de rentrer dans un cercle vertueux detection/protection.

1. Comment détecter et bloquer les
visiteurs web malveillants ?

2. Stéphane REYTAN
sreytan@randco.fr
RANDCO , Conseil en Infra IT
MassFilter.Me , Service de protection anti-DDoS

3. Les menaces
Piratage opportuniste
Vandalisme, Hacktivisme
Attaque ciblée et sophistiquée
Cybercriminalité (Rançonnage, Chantage)
Pratiques concurrentielles déloyales

4. Typologie des attaques Web
SQL Injection, XSS, RFI/LFI,...
Déni de Service (DDoS)
Web Scrapping
En cas de mutualisation / multi-tenant , vous
serez impacté collatéralement par l’attaque de
votre voisin...

5. “La sécurité n’est pas un produit...
c’est un processus.”
BRUCE SCHNEIER
Security Guru

6. Comment les détecter ?
. Activer les logs
. Sceller et stocker les logs
. Traiter automatiquement les logs
. Identifier et Alerter
. Améliorer les protections

7. 1. Activer les logs
Au niveau des firewalls, des serveurs Web,
des applications, des bases de données,
des systèmes d’exploitation...
“ les logs par défaut suffisent ”
“ a posteriori, on pourra facilement croiser les logs de
sources différentes ”
MYTHE #1
MYTHE #2

8. 2. Stocker et sceller les logs
Stocker hors d’atteinte des pirates
Adapter le type de stockage à vos
besoins/contraintes

9. #MYTHE
“ Stocker les logs suffit.
Je les traiterai lorsque j’aurai (détecté) un
incident.”

10. “Ce n'est pas la fin. Ce n'est même pas le
commencement de la fin. Mais, c'est peut-être la
fin du commencement.”
WINSTON CHURCHILL

11. 3. Traiter automatiquement les logs
Grâce à des règles métiers,
générer des tableaux de bord
#Conseil Choisir un outil permettant de visualiser
la dimension temporelle
#Mythe Un outil aura connaissance par “magie” de
mon contexte

12. .taille des logs (plancher et plafond),
.referrer (URL de provenance),
.user-agent (signature du navigateur),
.taux d’erreurs,
.durée de génération des pages,
.répartition des méthodes HTTP,
.débit des requetes,
. ...
Quelques idées d’indicateurs à surveiller

13. 4. Identifier et Alerter
Identifier les anomalies et alerter
Par un processus d’amélioration continue,
affiner le traitement de vos données
#Mythe Un unique indicateur suffit à détecter les malveillants

14. Exemples
Fig. 1 Fig. 2
Fig. 3

15. 5. Comment les bloquer ?
developpement sécurisé + pentest,
idéalement Web Application Firewall (WAF),
protections anti-ddos
+ geoblocking + rate limiting
+ IP blacklisting + challenges JavaScript
+ ...

16. #Conseil
Ne pas se précipiter
sur un outil (onéreux)
Découvrez par itérations rapides
vos réels besoins.

17. #Conseil
Ne ré-inventez pas la roue.
De nombreux outils
commerciaux et libres existent.
Le Cloud permet d’expérimenter,
de déployer rapidement
et de ne payer qu’à l’usage.

18. < votre constructeur
de FW et/ou WAF favori >
#Analyser#Stocker
6. Outils et solutions
#Bloquer

19. #Conclusion
C’est une affaire de spécialistes MAIS vous seul
pouvez conduire ce processus continu.
Les traitements mis en oeuvre peuvent servir à la
connaissance client, Business Intelligence, Détection de
Fraude…
RANDCO est là pour vous accompagner.