Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cisco met la sécurité au cœur de sa stratégie

juin 2015 par Marc Jacob

A l’occasion de la Cisco Live, l’équipementier qui a depuis plusieurs années bâti son offre de sécurité à coup de rachat d’entreprises (Ironport, Sourcefire…) a décidé cette année de mettre la sécurité au cœur de sa stratégie. Ainsi, John Chambers son CEO actuel en passe la main à son adjoint et va devenir une sorte de « Security Evangelist » afin de prêcher la bonne parole dans le monde. Pour l’instant cette nouvelle orientation va passer par une offre de sécurité verticale et horizontale dont l’un des socles est Advanced Malware Protection (AMP). Cette solution devrait être déployé sur l’ensemble des équipements Cisco.

Christophe Joly, Directeur France Security Group de Cisco en introduction, a expliqué que depuis deux ans de grands changements sont intervenus dans le groupe avec en particulier le concept de sécurité Evrywhere. Afin d’expliquer cette orientation, il montre en introduction que les actes de malveillance informatique se banalisent. Les pirates informatique monétisent leurs actions soit en revendant les données extorquées soit pour leurs prestations en matière de piratage. Il n’y a pas d’outils magique pour parer ces attaques, par contre il est primordiale d’avoir une capacité de réaction la plus rapide possible.

Avec l’Internet des objets, la mise en ligne de nouvelles applications la surface d’attaques va s’accroitre de façon exponentielle. Selon John Chambers, la sécurité est le sujet prioritaire de Cisco, d’ailleurs en quittant ces fonctions, au 1er août, il devrait devenir Sponsor manager sécurité de Cisco afin de faire de l’évangélisation dans le monde entier. Christophe Joly explique que 80% du trafic internet dans le monde rencontre au moins un équipement Cisco et 30% des mails soit 93 milliards par jour transitent par un équipement de sécurité Cisco... Tous les jours, Cisco bloque 4 milliards d’URL vers des sites infectés. Ainsi la base de données de malwares de Cisco s’enrichie tous les jours. Dans ce cadre la sécurité Evrywhere permet d’embarquer de la sécurité sur l’ensemble des éléments du réseau. De ce fait, le modèle de sécurité de Cisco est orienté et centré sur la menace. Une démarche de sécurité doit se constituer en trois phases : la connaissance des actifs à protéger, la réduction de la surface d’exposition et enfin, les contre-mesures prises après les attaques.

Advanced Malware Protection va être déployé de façon transverse su tous les équipements Cisco

Ivan Berlison, Responsable Technique Advanced Malware Protection de Cisco a pour sa part réalisé une démonstration de fonctionnement d’une attaque et de remédiation. Au départ, tout commence par une infection. Il faut savoir que suite à une infection, 60% des données sont exfiltrées dans les heures qui suivent et 54% restent en place durant plusieurs mois. Face à cette rapidité d’action, la détection prend souvent quelques mois... Pour Ivan Berlison le problème vient plus de la partie humaine que des outils eux-mêmes. En effet, ces derniers remontent bien des informations mais qui sont souvent mal documentées ou mal interprétées. Le problème vient souvent aussi des malwares qui sont polymorphes et ne sont pas un objet unique. Le malware dès son installation va cacher ses traces exécuter des actions licites sur le réseau, mais aussi illicites... Ce qui rend leurs détections très complexes. Concernant les attaques ciblées, elles sont souvent préparées des semaines voire des mois à l’avance. Les pirates trouvent des informations en utilisant différents moyens jusqu’à soudoyer des informateurs de toute sorte dont parfois des employés. Ivan Berlison rappelle que les pirates informatiques trouvent toujours un moyen de by passer les outils de sécurité déployer... Le pirate créé ainsi sa « légende » c’est à dire son script d’attaques et la lancer. La troisième phase est de rester le plus longtemps sur le SI de la victime afin de voler le plus d’informations possibles.

De ce fait, penser que l’on va pouvoir détecter 100% des attaques est une utopie ! Il faut donc accepter ce constat. Par contre, il faut pouvoir identifier le plus rapidement possible les pénétrations et de savoir ce que les malwares ont touchés. L’objectif des entreprises doit être de réduire au maximum le temps durant lequel le malware est déployé sur le SI. Ainsi, il faut avant tout cartographier son SI, connaître les habitudes des utilisateurs... afin d’identifier les anomalies. Pour cela Cisco propose une gamme de solution qui va du Firewall, aux outils d’Advance malware protection (AMP) des IPS, NAC... Toutes les informations de ces outils doivent être corrélées de façon continue afin d’adresser des alertes utilisables aux analystes via une console de management centralisée. Une fois détectée, il faut que les contre-mesures soient suffisamment granulaires pour ne pas bloquer l’intégralité du réseau et donc le business.

Avec l’AMP, les entreprises bénéficent d’une part d’un système de défense basé sur le filtrage par réputation et sur l’analyse des comportements. C’est à dire d’une part la vérification des signatures biunivoques, mais aussi la réalisation des analyses avec des Sandbox dans lesquels on exécute des applications pour les vérifier.

Dans un second temps, il faut une sécurité rétrospective en continu afin de superviser les comportements des objets et il faut être capable de les faire s’exécuter pour vérifier ses actions. Ainsi, des alertes doivent être envoyées afin de donner des moyens d’investigation et connaître ainsi de façon rétrospective toutes les actions effectuées, les chemins pris.... Le système fonctionne dans le Cloud de Cisco mais peut travailler dans un Cloud privé de l’entreprise avec une anonymisation des données envoyées dans le Cloud.

En conclusion, Christophe Joly a présenté les nouvelles solutions lancées par Cisco lors de la Cisco Live. Pour lui, la véritable valeur de cette offre est la dimension non seulement verticale mais aussi horizontale via tous les équipements Cisco déployés sur les réseaux. Par exemple sur AnyConnect le VPN Cisco, la fonction AMP est disponible. La fonction AMP est aussi activable sur les routeurs Cisco qui intègrent aussi nativement les fonctions IPS... Enfin, pour les opérateurs des plateformes multi services qui contiennent des fonctions Firewall, IPS, AMP, mais aussi des anti-DDOS via le partenariat avec Radware. L’ensemble de ces outils n’ont selon Christophe Joly que peu impacte sur les temps de latence.


Voir les articles précédents

    

Voir les articles suivants