Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IronPort lance une appliance évoluée de sécurité Web

novembre 2007 par Marc Jacob

IronPort Systems, division de Cisco annonce des perfectionnements significatifs de son appliance de sécurité Web IronPort S-Series. Cette appliance IronPort est un équipement de haute performance conçu pour appliquer des règles de sécurité aux accès Web, une partie du réseau souvent laissée sans protection au sein de nombreuses entreprises. L’IronPort S-Series offre des capacités évoluées aidant les organisations à identifier et bloquer les codes malveillants à l’entrée du réseau de l’entreprise, à élaborer et faire respecter des règles d’usage acceptable de l’Internet, ainsi qu’à éviter l’envoi par inadvertance de données sensibles à l’extérieur. L’IronPort S-Series est un élément majeur de la stratégie Self-Defending Network de Cisco, assurant la sécurisation du trafic Web au niveau des contenus de façon à renforcer la sécurité globale du réseau.

Début 2003, IronPort inaugurait le concept d’analyse de réputation. Depuis lors, le filtrage à base de réputation s’est révélé très puissant. Dans la plupart des cas, les appliances e-mail IronPort peuvent bloquer plus de 90% des spams entrants, en se référant uniquement à la réputation du serveur expéditeur. En janvier 2006, IronPort a lancé le filtrage de réputation Web, en appliquant au trafic Web les mêmes techniques qui avaient fait la preuve de leur efficacité avec le courrier électronique.

Les appliances de sécurité Web IronPort S-Series analysent en temps réel la réputation de chaque serveur Web contacté par les utilisateurs d’une entreprise. Cette analyse constitue la première ligne de défense contre les menaces véhiculées par le Web. Les utilisateurs des appliances de sécurité Web IronPort peuvent choisir d’appliquer un nombre quelconque de règles afin d’exclure certains sites Web indésirables en fonction de leur note de réputation. Les codes malveillants sont devenus extrêmement complexes, présentant des milliers de variantes susceptibles d’apparaître à tout moment. IronPort Web Reputation Filters™ fournit un excellent moyen de contrer les attaques de codes malveillants polymorphes qui échappent aux filtres à base de signatures. L’utilisation de la réputation ne se limite pas au blocage des connexions. L’analyse de réputation est intégrée à l’ ensemble de l’appliance IronPort de façon à aiguiller les contenus vers le moteur d’analyse approprié, en particulier le nouveau moteur d’inspection HTTPS, ainsi que le système intégré de protection contre les codes malveillants à base de signatures de McAfee et Webroot. Cette méthode aboutit à un examen plus efficace et intelligent des contenus Web.

Pour atteindre le double objectif d’accroître leur productivité et de limiter leur responsabilité potentielle, de nombreuses entreprises ont élaboré des règles d’usage acceptable qui régissent l’utilisation d’Internet sur le lieu de travail. Nombre de ces règles sont mises en œuvre via un système de filtrage d’URL. L’IronPort S ?Series incorpore une solution de filtrage URL de haut niveau, fournissant des rapports détaillés sur les habitudes de navigation Web des utilisateurs et permettant de contrôler plus de 50 catégories distinctes de sites Web. L’outil de gestion de politiques Web inclus au sein de l’appliance IronPort facilite la création et la mise en œuvre de règles d’usage acceptable, et ce par groupes LDAP. Le filtrage URL complète efficacement IronPort Web Reputation Filters.

Suite à l’analyse faite à base de réputation, le trafic réputé malveillant est bloqué, celui reconnu comme légitime ne subit aucune analyse supplémentaire, tandis que le trafic suspect est soumis à un filtre anti-malware reposant sur des bases de signatures issues de divers spécialistes de la sécurité. Le moteur IronPort Dynamic Vectoring & Streaming™ (DVS) exploite désormais les signatures anti-malware de Webroot ainsi que les signatures anti-malware et anti-virus de McAfee.

Les analystes de menaces d’IronPort et de Cisco ont observé une tendance croissante à privilégier le Web (plutôt que l’e-mail) pour la diffusion de codes malveillants. Les entreprises sont confrontées à davantage d’ infections sophistiquées comme par exemple la prise de contrôle à distance de certains de leurs postes de travail par des pirates. Cette technique transforme les postes d’une entreprise en zombies, le pirate pouvant les utiliser à distance pour lancer des attaques de façon camouflée. L’IronPort S-Series intègre un moniteur de trafic de niveau 4, qui analyse le trafic sur tous les ports (et pas uniquement le trafic Web) afin d’identifier les connexions liées à l’activité de postes zombies sur le réseau de l’ entreprise. De plus en plus, les entreprises se tournent vers des systèmes complets tels que l’offre Self Defending Network de Cisco pour faciliter la détection et le blocage de l’activité des zombies sur leurs réseaux, ainsi que la mise en place des remèdes appropriés, à l’image de Network Access Control (NAC).

IronPort considère l’utilisation du flux HTTPS comme un point faible des solutions offertes par de nombreux équipements de sécurité Web. Etant donné que le protocole HTTPS établit une connexion chiffrée entre le poste client et le serveur origine, les équipements de sécurisation du réseau n’ont en général ni visibilité ni contrôle sur le trafic HTTPS. L’emploi de HTTPS sur Internet n’a cessé de progresser, à un rythme annuel supérieur à 60%, stimulé par des usages légitimes tels que la banque ou le commerce en ligne. Or, il est très simple de créer un nouveau site Web présentant l’aspect d’ une banque ou d’un site marchand, d’établir des connexions HTTPS correspondantes, puis d’envoyer des codes malveillants à l’utilisateur final dans un format impossible à analyser au moyen des systèmes de sécurité classiques.

Les appliances de sécurité Web IronPort sont conçues pour aider à faire face à cette future menace en combinant le filtrage à base de réputation et les catégories d’usage acceptable afin d’examiner le trafic HTTPS de manière sélective. Le moteur IronPort DVS peut diriger le trafic HTTPS suspect vers le moteur intégré de chiffrement/déchiffrement. Ce dernier est à même de déchiffrer la connexion, d’analyser celle-ci en matière de codes malveillants et d’usage acceptable, puis (si nécessaire) de la chiffrer à nouveau pour transmission à l’utilisateur final. L’utilisation de l’analyse de réputation à ce stade est cruciale. Les sites dignes de confiance, ayant une réputation positive et figurant en outre dans les catégories banque, santé ou commerce, ne doivent en effet pas voir leurs communications déchiffrées, de sorte que l’entreprise ne s’expose pas à des plaintes pour violation d’informations confidentielles ou privées concernant l’utilisateur final (données financières, dossier médical, informations de carte de crédit …). En revanche, l’emploi du filtrage à base de réputation signifie que les certificats autosignés, suspects, provenant de sites inconnus ou de sites accrédités par des autorités de certification suspectes classées dans les domaines de la finance, de la santé ou du commerce verront quant à eux leurs connexions déchiffrées et analysées par souci de sécurisation du réseau. Cette utilisation intelligente du filtrage à base de réputation et des catégories d’usage acceptable contribue à optimiser la sécurité, l’efficacit é du boîtier et la protection de la vie privée de l’utilisateur final.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants