Afin de réduire au minimum les risques de sécurité, une approche holistique de la sécurité est nécessaire. Nos processus de sécurité sont nés d'une définition claire des menaces qui pèsent sur notre système.
Notre plate-forme et nos processus de sécurité s'appuient sur plusieurs niveaux de sécurité - composés de systèmes et d'équipements de sécurité1 combinés à des procédures et pratiques de sécurité2 et à des processus d'audit3, afin de garantir une sécurité inégalée pour tous les services que nous fournissons. La plateforme aborde la sécurité à 7 niveaux différents
Nos partenariats mondiaux de centres de données sont le résultat d'un processus complet de diligence raisonnable. La sécurité et la stabilité sont deux des variables les plus importantes de notre processus de diligence raisonnable. Tous les centres de données sont équipés de caméras de surveillance, de verrous biométriques, de politiques d'accès basées sur l'autorisation, d'un accès limité au centre de données, de personnel de sécurité et d'équipements, de processus et d'opérations de sécurité standard similaires.
Ce qui nous sépare toutefois, c'est le fait que notre processus de diligence raisonnable intègre également une mesure de proactivité démontrée par le centre de données en matière de sécurité. Ceci est mesuré en évaluant les pratiques passées, les études de cas de clients et le temps que le centre de données consacre à la recherche et à l'étude de la sécurité.
Nos déploiements d'infrastructures mondiales intègrent des atténuateurs DDOS, des systèmes de détection d'intrusion et des pare-feu à la périphérie et au niveau du rack. Nos déploiements ont résisté au piratage fréquent et aux tentatives DDOS (parfois jusqu'à 3 en une seule journée) sans aucune dégradation.
Protection par pare-feu : notre système de protection par pare-feu 24h/24 sécurise le périmètre et offre la meilleure première ligne de défense. Il utilise une technologie d'inspection hautement adaptative et avancée pour protéger vos données, votre site Web, votre courrier électronique et vos applications Web en bloquant l'accès non autorisé au réseau. Il garantit une connectivité contrôlée entre les serveurs qui stockent vos données et Internet grâce à l'application de politiques de sécurité conçues par des experts en la matière.
Système de détection des intrusions réseau - Notre système de détection, de prévention et de gestion des vulnérabilités des intrusions réseau offre une protection rapide, précise et complète contre les attaques ciblées, les anomalies de trafic, les vers "inconnus", les logiciels espions/publicitaires, les virus de réseau, les applications malveillantes et autres zéro exploits quotidiens. Il utilise des processeurs réseau ultramodernes à hautes performances qui effectuent simultanément des milliers de vérifications sur chaque flux de paquets sans augmentation perceptible de la latence. Au fur et à mesure que les paquets traversent nos systèmes, ils sont entièrement examinés pour déterminer s'ils sont légitimes ou nuisibles. Cette méthode de protection instantanée est le mécanisme le plus efficace pour s'assurer que les attaques nuisibles n'atteignent pas leurs cibles.
Protection contre les attaques par déni de service distribué (DDoS) - Le déni de service est actuellement la principale source de perte financière due à la cybercriminalité. L'objectif d'une attaque par déni de service est de perturber vos activités commerciales en arrêtant le fonctionnement de votre site Web, de votre messagerie ou de vos applications Web. Ceci est réalisé en attaquant les serveurs ou le réseau qui hébergent ces services et en surchargeant les ressources clés telles que la bande passante, le processeur et la mémoire. Les motifs typiques de ces attaques sont l'extorsion, le droit de se vanter, les déclarations politiques, la concurrence préjudiciable, etc. Pratiquement toute organisation qui se connecte à Internet est vulnérable à ces attaques. L'impact commercial d'attaques DoS soutenues de grande envergure est colossal, car cela entraînerait des pertes de bénéfices, l'insatisfaction des clients, une perte de productivité, etc. en raison de l'indisponibilité ou de la détérioration du service. Une attaque DoS dans la plupart des cas vous rapporterait même la plus grande facture de dépassement de bande passante que vous ayez jamais vue.
Notre système de protection par déni de service distribué offre une protection inégalée contre les attaques DoS et DDoS sur vos infrastructures Internet, c'est-à-dire vos sites Web, vos e-mails et vos applications Web critiques, en utilisant une technologie de pointe sophistiquée qui se déclenche automatiquement lorsque dès qu'une attaque est lancée. Le système de filtrage de l'atténuateur DDoS bloque presque tout le trafic frauduleux et garantit que le trafic légitime est autorisé dans toute la mesure du possible. Ces systèmes ont protégé de manière transparente plusieurs sites Web contre les interruptions de service importantes causées par des attaques simultanées atteignant plus de 300 Mbps dans le passé, permettant ainsi aux organisations de se concentrer sur leur activité.
Système de détection d'intrusion basé sur l'hôte - Avec l'avènement d'outils capables de contourner les systèmes de défense périmétrique bloquant les ports tels que les pare-feu, il est désormais essentiel pour les entreprises de déployer un système de détection d'intrusion basé sur l'hôte (HIDS) qui se concentre sur la surveillance et analyser les composants internes d'un système informatique. Notre système de détection d'intrusion basé sur l'hôte aide à détecter et à identifier les modifications apportées au système et aux fichiers de configuration - que ce soit par accident, par une falsification malveillante ou une intrusion externe - à l'aide d'analyseurs heuristiques, des informations du journal de l'hôte et en surveillant l'activité du système. La découverte rapide des modifications diminue le risque de dommages potentiels et réduit également les temps de dépannage et de récupération, diminuant ainsi l'impact global et améliorant la sécurité et la disponibilité du système.
Standardisation du matériel- Nous avons standardisé les fournisseurs de matériel qui ont fait leurs preuves en matière de normes de sécurité élevées et d'assistance de qualité. La plupart de nos partenaires d'infrastructure et de centre de données utilisent des équipements de Cisco, Juniper, HP, Dell, etc.
Nos applications fonctionnent sur une myriade de systèmes avec une myriade de logiciels de serveur. Les systèmes d'exploitation incluent diverses versions de Linux, BSD, Windows. Le logiciel serveur comprend des versions et des versions d'Apache, IIS, Resin, Tomcat, Postgres, MySQL, MSSQL, Qmail, Sendmail, Proftpd, etc. Nous assurons la sécurité malgré le portefeuille diversifié de produits logiciels que nous utilisons en suivant une approche axée sur les processus
Application en temps opportun des mises à jour, des corrections de bogues et des correctifs de sécurité - Tous les serveurs sont enregistrés pour les mises à jour automatiques afin de garantir qu'ils disposent toujours du dernier correctif de sécurité installé et que toute nouvelle vulnérabilité est corrigée dès que possible. Le plus grand nombre d'intrusions résulte de l'exploitation de vulnérabilités connues, d'erreurs de configuration ou d'attaques de virus pour lesquelles des contre-mesures SONT déjà disponibles. Selon le CERT, les systèmes et les réseaux sont impactés par ces événements car ils n'ont "pas systématiquement" déployé les correctifs qui ont été publiés.
Nous comprenons parfaitement l'exigence de solides processus de gestion des correctifs et des mises à jour. À mesure que les systèmes d'exploitation et les logiciels de serveur deviennent plus complexes, chaque nouvelle version est parsemée de failles de sécurité. Des informations et des mises à jour sur les nouvelles menaces de sécurité sont publiées presque quotidiennement. Nous avons mis en place des processus cohérents et reproductibles ainsi qu'un cadre d'audit et de reporting fiable qui garantit que tous nos systèmes sont toujours à jour.
Analyses de sécurité périodiques - Des vérifications fréquentes sont effectuées à l'aide d'un logiciel de sécurité de niveau entreprise pour déterminer si des serveurs présentent des vulnérabilités connues. Les serveurs sont scannés par rapport aux bases de données les plus complètes et les plus à jour des vulnérabilités connues. Cela nous permet de protéger de manière proactive nos serveurs contre les attaques et d'assurer la continuité des activités en identifiant les failles de sécurité ou les vulnérabilités avant qu'une attaque ne se produise.
Processus de test préalable à la mise à niveau : les mises à niveau logicielles sont fréquemment publiées par divers éditeurs de logiciels. bien que chaque fournisseur suive ses propres procédures de test avant la publication de toute mise à niveau, il ne peut pas tester les problèmes d'interopérabilité entre les différents logiciels. Par exemple, une nouvelle version d'une base de données peut être testée par le fournisseur de la base de données. Cependant, l'impact du déploiement de cette version sur un système de production exécutant divers autres logiciels FTP, Mail, Web Server ne peut pas être directement déterminé. Notre équipe d'administration système documente l'analyse d'impact de diverses mises à niveau logicielles et si l'une d'entre elles est perçue comme présentant un risque élevé, elle est d'abord testée en version bêta dans nos laboratoires avant son déploiement en direct.
Tous les logiciels d'application utilisés dans la plate-forme sont construits par nous. Nous ne sous-traitons pas le développement. Tous les produits ou composants tiers sont soumis à des procédures de formation et de test complètes où tous les éléments de ces produits sont décomposés et les connaissances sur leur architecture et leur mise en œuvre sont transférées à notre équipe. Cela nous permet de contrôler complètement toutes les variables impliquées dans un produit particulier. Toutes les applications sont conçues à l'aide de notre processus d'ingénierie de produit exclusif qui suit une approche proactive en matière de sécurité.
Chaque application est décomposée en divers composants tels que l'interface utilisateur, l'API principale, la base de données principale, etc. Chaque couche d'abstraction a ses propres contrôles de sécurité, malgré les contrôles de sécurité effectués par une couche d'abstraction supérieure. Toutes les données sensibles sont stockées dans un format crypté. Nos pratiques d'ingénierie et de développement garantissent le plus haut niveau de sécurité en ce qui concerne tous les logiciels d'application
Le maillon le plus faible de la chaîne de sécurité est toujours celui en qui vous avez confiance. Personnel, personnel de développement, fournisseurs, essentiellement toute personne ayant un accès privilégié à votre système. Notre approche de sécurité holistique tente de minimiser les risques de sécurité provoqués par le "facteur humain". Les informations ne sont divulguées qu'en cas de "besoin d'en connaître". L'autorisation expire à l'expiration de l'exigence. Le personnel est spécifiquement formé aux mesures de sécurité et à la criticité de leur respect.
Chaque employé disposant de privilèges d'administrateur sur l'un de nos serveurs est soumis à une vérification complète de ses antécédents. Les entreprises qui ignorent cela mettent en danger toutes les données sensibles et importantes appartenant à leurs clients, car quel que soit le montant investi dans des solutions de sécurité haut de gamme, une mauvaise embauche - ayant la bonne quantité d'accès - peut causer des dommages plus importants. que toute attaque extérieure.
Dans un vaste déploiement de serveurs distribués à l'échelle mondiale, des processus d'audit sont nécessaires pour garantir la réplication et la discipline des processus. Tous les serveurs sont-ils régulièrement corrigés ? Les scripts de sauvegarde s'exécutent-ils tout le temps ? Les sauvegardes hors site sont-elles alternées comme vous le souhaitez ? Des contrôles de références appropriés sont-ils effectués sur tout le personnel ? L'équipement de sécurité envoie-t-il des alertes en temps opportun ?
Ces questions et bien d'autres sont régulièrement vérifiées dans le cadre d'un processus hors bande qui implique des enquêtes, des enquêtes, des tentatives de piratage éthique, des entretiens, etc. Nos mécanismes d'audit nous alertent d'un défaut dans nos processus de sécurité avant qu'il ne soit découvert par des utilisateurs externes.
droits d'auteur © Lahkam Ltd. Tous les droits sont réservés