LE RÉSEAU DE COLLECTE AU SERVICE DE LA DÉTECTION D'INTRUSIONS DE NOUVELLE GÉNÉRATION - LE LIVRE BLANC - Tenedis
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
LE LIVRE BLANC
VISIBILITÉ, SÉCURITÉ & PERFORMANCE
LE RÉSEAU DE COLLECTE
AU SERVICE DE
LA DÉTECTION D’INTRUSIONS
DE NOUVELLE GÉNÉRATION
1
INTRODUCTION
Les flux informatiques deviennent de plus en plus critiques pour les grandes entreprises
et administrations, que ce soit pour moderniser leur stratégie de défense contre les
cyberattaques (analyse comportementale à base d’intelligence artificielle) ou pour monitorer la
performance de leur SI (communication unifiée, applications, transactions…).
Dans ce contexte le déploiement d’un réseau de collecte s’impose comme une bonne
pratique permettant de capturer et agréger les flux vers l’ensemble des sondes déployées
sur le réseau, d’optimiser le coût de déploiement de ces sondes et de faciliter leur
exploitation. Bien pensé, l’investissement se révèle rentable à court terme.
Tenedis et Interdata s’associent pour proposer le meilleur des technologies dans ce
domaine, en combinant les solutions IDS de nouvelle génération de Vectra Networks et la
technologie de visibilité des flux de Gigamon.
Investir suffisamment en matière de technologies
et aux bons endroits ET optimiser leur rendement est un
casse-tête que peu d’organisations arrivent à résoudre.
Plus d’un tiers Plus de neuf organisations Plus de quatre
des organisations sur dix éprouvent organisations sur cinq
ont investi efficacement d’importantes difficultés luttent afin de corriger
quant à la chasse aux associées à la sécurité les vulnérabilités de
cybermenaces informatique façon ponctuelle
2LE LIVRE BLANC
VISIBILITÉ, SÉCURITÉ & PERFORMANCE
1. DÉTERMINER LES COMPORTEMENTS
MALICIEUX EN SONDANT L’INTÉGRALITÉ
DU RÉSEAU
En termes de sécurité, les entreprises, après s’être longtemps dotées d’équipements
analysant les flux entrant et sortant, ont désormais besoin d’analyser plus finement
le contenu des flux internes à leur SI pour se protéger. C’est justement à ce besoin
que répond la solution de détection d’intrusion (IDS) Cognito Detect de Vectra. « Mieux
détecter les cyberattaques grâce à leur comportement plutôt que selon leur signature, mais
surtout en analysant l’ensemble du trafic à la fois nord-sud mais aussi est-ouest. Telle est
la prouesse teintée d’intelligence artificielle que parvient à réaliser la solution de détection
d’intrusion (IDS) de nouvelle génération Vectra Cognito.
Grâce à une visibilité la plus exhaustive du trafic réseau, l’IDS de Vectra est en mesure de
détecter l’activité anormale d’une machine puis de reconstruire le parcours d’un assaillant.
A la différence des solutions IDS traditionnelles, les scénarios du type
‘exfiltration de données’ sont identifiés sans même avoir besoin de
déchiffrer le trafic SSL. La solution accorde à chaque événement ou
suite d’événements une note de risque et de certitude qui permet de
prioriser le traitement des incidents. Cette analyse comportementale
est importante, car, une fois à l’intérieur du réseau et pour passer sous
les radars, les cyber-assaillants s’appuient très souvent sur des outils et
protocoles légitimes (RPC, WMI, SMB, powershell…) », expliquent les
experts Interdata.
EXPERTS
INTERDATA
PRIORISER LE TRAITEMENT DES INCIDENTS
« A la différence des solutions IDS traditionnelles,
les scénarios du type ‘exfiltration de données’ sont
identifiés sans même avoir besoin de déchiffrer le trafic
SSL. La solution accorde à chaque événement ou suite
d’événements une note de risque et de certitude qui
permet de prioriser le traitement des incidents. »
32. OPTIMISER LE DÉPLOIEMENT
ET L’EXPLOITATION DES SOLUTIONS
DE SÉCURITÉ
Analyser l’ensemble du trafic réseau, oui, mais sans risquer de le perturber et sans
complexifier son exploitation. « Un équipement de sécurité ou de monitoring installé en
coupure peut défaillir et, par conséquent, nuire à la continuité de service du réseau. » explique
Denis Liard, le directeur technique de Tenedis.
« La bonne pratique est donc de capturer le trafic à chaque endroit que l’on souhaite
inspecter, ce qui se fait très simplement à l’aide de TAPs réseau. Cependant, cette technique
présente l’inconvénient de multiplier les équipements de sécurité à chaque point de collecte
et par conséquent le coût global. C’est cette problématique que nous adressons avec la
technologie Gigamon. » expliquent les experts Tenedis.
Par ailleurs les organisations ont aussi d’autres besoins de recopie de trafic lorsqu’elles
utilisent des outils de mesure de performance. C’est pourquoi, nous recommandons à nos
clients de mettre en place un réseau de collecte qui sera indépendant et sans impact sur
le réseau de production.
EXPERTS
TENEDIS
ANALYSER SANS PERTURBER
« Un équipement de sécurité ou de monitoring installé
en coupure peut défaillir et, par conséquent, nuire à la
continuité de service du réseau. On voit ici tout l’intérêt
d’un réseau de collecte qui agrège et filtre le trafic en
amont des sondes, grâce à la plateforme Gigamon »
Denis Liard, directeur technique de Tenedis.
4LE LIVRE BLANC
VISIBILITÉ, SÉCURITÉ & PERFORMANCE
3. RATIONALISER LE COÛT DES SONDES
En pratique, on prélève les flux soit depuis certains switches du réseau de production s’ils
disposent d’un port dédié à la recopie de flux (le port SPAN, ou Switched Port ANalyzer),
soit en insérant un TAP optique passif entre les équipements actifs du réseau. Par définition, le
TAP optique est transparent au réseau de production puisqu’il ne possède pas d’alimentation
électrique ni de pièces mécaniques mobiles.
Chaque port SPAN ou TAP est ensuite connecté au Packet Broker GigaVUE de Gigamon.
Plusieurs modèles de GigaVUE existent selon le nombre de ports nécessaires pour agréger
l’ensemble du trafic provenant des points de collecte SPAN ou TAP à destination des outils
d’analyses telles que les sondes IDS de nouvelle génération Vectra Cognito.
Le Packer Broker GigaVUE se charge ensuite d’aiguiller les flux vers la bonne sonde. Par
exemple, en matière de cybersécurité, le GigaVUE enverra tous les paquets HTTP vers un
équipement dédié à l’analyse du trafic Web (WAF), tous les paquets SMTP à un autre système
dédié à l’analyse des e-mails, etc. Selon le volume de la taille du trafic, il peut également répartir
cette charge entre plusieurs outils en assurant à la fois la persistance des sessions ainsi que
l’élimination de l’asymétrie de trafic dû aux réseau redondant. Pour rappel, l’asymétrie de trafic
génère particulièrement de nombreux faux positifs sur les sondes de sécurité.
« Il est aussi important de noter qu’opérer le déchiffrement SSL sur la plateforme
Gigamon améliore d’autant plus le retour sur investissement puisqu’il n’est
plus nécessaire d’acquérir une licence de déchiffrement par outil ayant besoin
d’inspecter ce trafic chiffré ou de sur-dimensionner pour absorber la surcharge
générée par le décodage SSL. Autrement dit, il s’agit de déchiffrer une seule fois
pour servir tous les outils nécessitant d’inspecter ou d’analyser en clair le trafic
réseau », insiste Pascal Beurel, Directeur Technique de Gigamon Europe du Sud.
Sur ce schéma on voit ici tout l’intérêt d’un réseau de collecte qui agrège et filtre le trafic en
amont des sondes, grâce à la plateforme Gigamon :
Matrice intelligente, en mode recopie Internet
Sites Cloud
distants public
Définition : Dispositif modulaire permettant
une distribution intelligente du trafic vers les
sondes.
Bénéfices : Simplification, évolutivité et
flexibilité de l’architecture, ROI rapide
Routeurs
1G/10G PORTS (SFP+)
Pare-feu
X2
X1
X4
X3
X6
X5
X8
X7
X10
X9
X12
X11
1G/10G PORTS (SFP+)
X14
X13
X16
X15
X18
X17
X20
X19
X22
X21
X24
X23
1G/10G PORTS (SFP+)
X26
X25
X28
X27
X30
X29
X32
X31
X34
X33
X36
X35
1G/10G PORTS (SFP+)
X38
X37
3
X40
X39
SMT-HC0-X16 PRT-HC0-Q06
ENA
LNK
X42
X41
Commutateurs
X44
X43
H/S
Q1
X46
X45
X48
X47
ENA
LNK
X53 – X56 | Q2
X49 – X52 | Q1
10G/40G PORTS (QSFP )
X1 5
X1 6
Tronc
Q1
P WR1 P WR2S YS TEM FA N
X61 – X64 | Q4
X57 – X60 | Q3
X1 3
X1 4
GigaVUE-TA10
ENA
LNK
X1 1
X1 2
CONSO LE
MG MT
Déduplication
Q1
IDS
X1 0
X9
ENA
LNK
X7
X8
X X
Q1
X5
X6
NAC
ENA
LNK
X3
X4
Q1
X1
X2
ENA
LNK
Q1
APM Filtrage intelligent
Pwr
Rdy
Rdy
P wr
1
SX / SR
TAP-HC0-G100C0
62.5 um
On = Inline
MODE (M) O = Bypass
M
NETWORK 4
B
TAP 12
NPM
A
M
NETWORK 3
B
Commutateurs
TAP 11
A
M
NETWORK 2
B
TAP 10
A
M
NETWORK 1
B
A
TAP 9
ATP Feuille
TAP 8
X1 5
X1 6
Netflow / Metadata
TAP 7
X1 3
X1 4
X1 1
X1 2
TAP 6
DLP
X1 0
X9
TAP 5
TAP 4
X7
X8
…
TAP 3
X5
X6
TAP 2
X3
X4
TAP 1
Déchiffrement SSL OOB
X1
X2
Pwr
Rdy
Rdy
P wr
Ferme de
PPS Fan Rear
Rdy M/S
Pwr
GigaVUE-HC2
IEEE
1588
Mgmt
Mgmt
Stack
PTP
Con-
sole
Port
Lock
serveurs
virtualisés
Fonctionnalités
Outils GigaSMART
Confidentiel et exclusif. Pour utilisation interne uniquement. © Gigamon 2018. Tous droits réservés. 17
54. L’ENJEU : DÉTERMINER LES BONS
POINTS DE COLLECTE
« Les IDS de Vectra doivent avoir une vision la plus large possible du réseau pour
analyser le trafic en amont et en aval des serveurs et des postes clients, et ainsi détecter,
par exemple, des attaques par rebond entre des machines. Notre premier rôle en tant
qu’intégrateur est donc architectural : nous aidons les entreprises à déterminer quels sont les
meilleurs points de collecte pour éviter les zones d’ombres », ajoutent les experts sécurité
Interdata. L’objectif est de véritablement analyser l’intégralité des flux, mais aussi de pouvoir les
comparer avant et après qu’ils traversent certains serveurs.
« Très souvent, notre intervention permet à nos clients de découvrir que des anomalies
d’architecture existent sur leurs réseaux, typiquement des liens en trop qui pénalisent les
performances et augmentent le coût en équipements. Ces anomalies sont communes ces
dernières années, car elles naissent lors des rachats d’entreprises ou des changements de
personnels. À un certain moment, les équipes en place n’ont plus aucune idée du chemin que
suivent leurs flux », témoignent les ingénieurs Tenedis.
A ce propos, l’un des facteurs aggravants du manque de visibilité est la virtualisation, dans
laquelle les serveurs virtualisés sont susceptibles de se déplacer d’un serveur physique à un
autre. Pour contourner cette problématique, Tenedis propose le déploiement de TAPs virtuels
Gigamon capables de collecter les flux entre les VM.
Alimentées de ce trafic entre machines virtuelles déployées sur des hyperviseurs (VMWare
ESX/NSX ou OpenStack KVM) ou en cloud public (Amazon AWS / Microsoft Azure), les
solutions IDS de nouvelle génération sont en capacité d’avoir une visibilité totale sur le
trafic de l’entreprise, lui permettant de détecter le moindre comportement suspect au sein
de ce trafic.
EXPERTS
TENEDIS
COLLECTER LES FLUX ENTRE LE VM
L’un des facteurs aggravants du manque de visibilité est la
virtualisation, dans laquelle les serveurs virtualisés sont susceptibles
de se déplacer d’un serveur physique à un autre. Pour contourner
cette problématique, Tenedis propose le déploiement de TAPs virtuels
Gigamon capables de collecter les flux entre les VM.
6LE LIVRE BLANC
VISIBILITÉ, SÉCURITÉ & PERFORMANCE
5. LE RÔLE CLÉ DE L’INTÉGRATEUR SÉCURITÉ :
INTÉGRER LES SOLUTIONS D’IDS NOUVELLE
GÉNÉRATION DANS L’ÉCOSYSTÈME DU CLIENT
Une fois les sondes IDS Vectra connectées au réseau de collecte, elles font une première analyse
du trafic puis envoient des métadonnées vers le cœur de la solution de Vectra, l’appliance physique
appelée Brain. En général, un Brain peut analyser les relevés de 40.000 adresses IP. Certains clients,
ayant plusieurs centaines de milliers d’adresses IP, disposent de plusieurs Brains dont les alertes
critiques sont centralisées via un SIEM.
L’objectif du Brain est de n’alerter que sur les menaces importantes et d’éviter les faux positifs.
Pour y parvenir, il convient de laisser Cognito Detect observer le réseau pendant une période
d’apprentissage, typiquement une quinzaine de jours, afin d’entrainer ses moteurs d’intelligence
artificielle. Ensuite une première analyse des anomalies est à réaliser.
« Il est fréquent qu’un comportement anormal soit légitime pour tel ou tel réseau
d’entreprise. Nous rencontrons souvent chez nos clients des serveurs mal configurés qui
scannent le réseau ou tentent des connexions multiples vers des systèmes qui ne sont plus
opérationnels. Le travail d’Interdata consiste donc à les accompagner dans le triage de
ces faux positifs, de sorte qu’ils n’apparaissent pas dans la console de surveillance en tant
qu’alertes », expliquent les experts Interdata.
L’autre rôle de l’intégrateur consiste à intégrer Cognito Detect aux infrastructures et outils de
sécurité déjà en place. La solution de Vectra dispose à cette fin d’API permettant, par exemple,
de s’interconnecter avec des firewalls pour leurs signaler qu’une machine n’a plus le droit de
communiquer sur Internet. Elle peut aussi exporter ses logs vers des SIEMs. « En l’occurrence, il est
nécessaire que ces dispositifs soient en capacité d’interpréter les logs et autres informations envoyés
par l’IDS. Nous créons donc des parsers à base d’expressions régulières. Dans un second temps, nous
pouvons aider nos clients à créer des tableaux de bord pour piloter ces informations », assure les
ingénieurs Interdata.
Selon eux, cette intégration, spécifique à chaque client, conditionne la rapidité de mise en place
du projet. « Pour le reste, Cognito Detect, grâce à son intelligence artificielle, est presque une
solution clés en main. Une aubaine, car les IDS étaient jusque-là très compliqués à mettre en
œuvre », concluent-ils
76. LA CONVERGENCE DES BESOINS
EN TERMES DE MÉTROLOGIE
ET DE SÉCURITÉ
Les besoins de métrologie et de sécurité demandent tous les deux une visibilité la plus
exhaustive possible sur le trafic réseau. Cette synergie transverse entre corps de métier
s’exprime désormais autour du réseau de collecte associé aux outils de sécurité et de
métrologie.
Nos experts observent à ce propos que les besoins du marché pour des réseaux de collecte,
initialement utilisés pour la métrologie, concernent désormais de plus en plus souvent
les projets de cybersécurité. « Nos clients cherchent désormais à analyser les flux en
profondeur tout en rationalisant leurs budgets, aussi les équipes de sécurité sont de
plus en plus sensibles à l’intérêt de déployer un réseau de collecte, d’autant plus que cet
investissement est souvent mutualisable en interne ».
Un point clé de la collaboration avec des intégrateurs tels que Tenedis et Interdata est
leur savoir-faire pour réunir les gens de l’IT, du réseau, de la sécurité et de la métrologie.
« Nous travaillons pour de très grands comptes, parmi lesquels des opérateurs, pour lesquels il
est économiquement intéressant de rationaliser les outils d’analyse et de sécurité. Nous avons
développé une véritable capacité à travailler de manière transverse entre les différents
corps de métier auxquels nous proposons d’ailleurs des ateliers en demi-journée. Finalement,
la seule difficulté que nous rencontrons est celle de trouver le bon moment pour insérer les
TAPs sur les liens de production », ajoutent les ingénieurs Tenedis.
Associer les compétences de la société Interdata en cybersécurité et celle de Tenedis pour
la collecte et l’agrégation des flux génère une synergie pour agréger le meilleur des deux
mondes. Cette coopération permet de créer des solutions innovantes pour répondre aux
enjeux que nos experts rencontrent tous les jours.
8LE LIVRE BLANC
VISIBILITÉ, SÉCURITÉ & PERFORMANCE
À PROPOS D’INTERDATA
Société française spécialisée dans l’intégration, l’architecture et la sécurité des réseaux,
Interdata se positionne comme un précurseur sur le marché, à la pointe des technologies les
plus novatrices. Son large éventail de solutions et de services à haute valeur ajoutée se décline
autour de 3 axes : la sécurité des systèmes d’information, l’optimisation de la performance et
l’automatisation des infrastructures réseaux et applicatives. Interdata s’adresse aussi bien aux
opérateurs qu’aux entreprises de toutes tailles et aux administrations.
Pour plus d’informations : www.interdata.fr
À PROPOS DE TENEDIS
Tenedis est le leader français pour l’intégration de solutions d’analyse des performances
des réseaux et de l’expérience utilisateur des applications. Une équipe d’experts qui propose
une large gamme de services tels que des prestations d’audit, ou de validation d’architectures
réseau… Cela grâce un partenariat très développé avec des sociétés spécialisées dans
la performance et la métrologie, telles que Ekahau, Fluke Networks, Gigamon, Ixia, ou
encore Riverbed...
Pour en savoir plus : www.tenedis.com
Ce livre blanc a été réalisé avec la collaboration de Gigamon et Vectra
À PROPOS DE GIGAMON
Gigamon fournit une architecture Visibility Fabric™ intelligente permettant de gérer des
réseaux de plus en plus complexes. La technologie Gigamon responsabilise les architectes,
gestionnaires et opérateurs d’infrastructures en leur offrant une visibilité et un contrôle
omniprésents sur le trafic, tant dans les environnements physiques que virtuels, sans
affecter les performances ou la stabilité du réseau de production. Par le biais de technologies
brevetées, d’une gestion centralisée et d’un éventail de nœuds de structures à forte
disponibilité et à haute densité, le trafic du réseau est transmis de manière intelligente aux
systèmes de surveillance et de sécurité.
Pour plus d’informations : www.gigamon.com
À PROPOS DE VECTRA
Vectra® bouleverse la cybersécurité avec l’intelligence artificielle. Sa plateforme Cognito™
automatise la détection et la réponse aux cyberattaques, depuis le cloud et les data center
jusqu’aux postes et objets connectés des utilisateurs. Cognito corrèle les menaces, priorise
les hôtes en fonction du risque et fournit un contexte riche pour permettre aux systèmes de
sécurité d’intervenir en toute autonomie, réduisant la charge de travail des équipes de sécurité
par 36. Vectra a obtenu 10 brevets américains avec 11 brevets supplémentaires en attente pour
des applications de cybersécurité de l’apprentissage machine et de l’intelligence artificielle. Le
siège de Vectra est basé à San José, Californie et son siège européen est basé à Zurich.
Pour plus d’informations : www.vectra.ai/french-product
9Vous pouvez aussi lire
