Sécurité et contrôle dans un monde Web 2.0 : Limites des solutions actuelles

juin 28, 2010 par Laisser un commentaire

Limites des technologies actuellement déployées

Bien évidemment, un certain nombre de technologies de sécurité ont été déployées dans les réseaux et sur les machines (serveurs et terminaux utilisateurs). Dans ce cas, pourquoi le taux d’infection par des logiciels malveillants connaît-il une forte croissance à travers le monde, quelle que soit la taille de l’entreprise, et ce malgré le fait que l’écrasante majorité  des entreprises aient déployé des fonctions de sécurité ? Cela tient profondément à la nature de ces nouvelles attaques, qui mettent en échec l’approche traditionnelle de la sécurité web. Pour mieux le comprendre, il faut distinguer les attaques côté serveur et côté client.

Côté serveur

La protection côté serveur repose traditionnellement sur l’alliance firewall et prévention d’intrusion (sur le poste ou en réseau), parfois en un équipement uniquement. La difficulté provient du fait que ces technologies se focalisent sur la protection au niveau réseau et au niveau protocolaire, protégeant des attaques bas niveau, des vulnérabilités existant dans les systèmes d’exploitation, et dans les applicatifs de serveur web (apache, IIS) ou de base de données.

Mais, suivant une tendance observée depuis plusieurs années, les attaques ont continué à remonter dans les couches applicatives, et la majorité des attaques se situent désormais au niveau de l’application web, qui inclue des pages, des scripts, des feuilles de style, des formulaires et bien d’autres objets développés dans un contexte spécifique.

Figure  - Les attaques se situent au niveau applicatif

Côté client

Les entreprises protègent traditionnellement le flux web au moyen de trois outils : Le firewall positionné à la périphérie de l’entreprise, une solution de filtrage d’url basé sur des catégories, et une solution anti-virus déployée sur le poste client. Le firewall, comme l’on a vu côté serveur, va valider que le flux circulant est bien formé et contient bien de l’http, mais ne va pas – ou peu – s’intéresser au contenu de l’url demandée ou de la réponse du serveur web. C’est donc une brique de sécurité indispensable, mais qui ne travaille pas en profondeur sur le contenu du flux web.

La solution de filtrage d’url par catégorie va permettre de bloquer les accès aux sites connus de phishing ou connus pour être infectés par du malware et catégorisés comme tels. Ces solutions sont toutefois uniquement réactives, et en cas d’apparition d’un malware sur un site donné, le temps que le site soit bien catégorisé et que la règle soit transmise aux clients, le code malicieux aura eu potentiellement le temps d’infecter l’entreprise. Hors aujourd’hui, les sites hébergeant du malware et spécifiquement créés pour cela (le plus souvent dans le cadre de botnets) restent en ligne très peu de temps et n’auront bien souvent pas le temps d’être identifiés dans les listes de filtrage d’url. Mais bien pire, la majorité des infections se faisant en naviguant sur des sites légitimes, leur trafic sera autorisé par les listes de filtrage d’url, car justement ils sont légitimes et bien connus !

Il faut donc se contenter d’utiliser les solutions de filtrage URL par catégorie pour gérer une politique d’usage acceptable d’Internet au sein de sa société, mais pas pour mettre en place une politique de sécurité Web.

Enfin, il reste une dernière barrière de sécurité pour se prémunir des infections : La sécurité du poste client, avec en tout premier lieu l’anti-virus. Hors, les malware modernes contournent ces protections, pour deux grandes raisons. Tout d’abord, malgré de grands progrès réalisés par les consoles de gestion des solutions de sécurité du poste, il est quasi impossible d’avoir à chaque instant tous les postes avec un anti virus à jour. Bien souvent, une proportion plus ou moins large, pouvant atteindre dans certaines organisations la moitié des PCs avec une protection ayant 15 jours de retard.

Figure  - L’explosion du nombre de malware, preuve que chaque instance d’attaque est unique

Enfin, dans contexte, deux autres facteurs qui seront abordés plus loin dans ce document, viennent se rajouter : L’explosion de la mobilité, qui fait que 85% des PC nomades vont surfer sur Internet sans passer par le VPN d’entreprise, et donc sans passer par les outils de protection déployés, et l’explosion du Web 2.0 qui rend 80% du web (pages dynamiques type facebook ou autres) non classifié !

On le voit, les solutions de sécurité actuelles, réactives, sont dépassées par rapport aux menaces et contexte actuels : Elles ne sont ni assez rapides dans leur réaction, ni complètes en terme de couverture du spectre des menaces, ni suffisamment pertinentes.

Prenons un exemple datant du 13 septembre 2009. Les visiteurs du site NYTimes.com, catégorisé par les listes de filtrage d’url comme site d’information légitime, se sont retrouvés avec une publicité paraissant légitime (insérée dans le site), générant un pop-up alertant les visiteurs qu’un virus avait infecté leur machine. L’utilisateur était ensuite redirigé vers un site hébergeant un malware, faisant croire à un logiciel anti-virus alors que c’était un cheval de Troie… Les outils de filtrage d’url analysant uniquement la requête initiale (l’accès à la page d’accueil NYTimes.com) et pas chaque objet composant la page (une page web va être constituée en moyenne de 150 objets récupérés sur plusieurs dizaines de serveurs différents), l’infection peut facilement avoir lieu.

Face à ces attaques multi vecteurs, changeantes, polymorphes, il faut donc aborder le sujet de la sécurité des flux web avec une approche différente, plus proactive que réactive. La réponse tient en une approche combinant une analyse de contenu pertinente et performante, combinée à une approche proactive d’analyse en profondeur des caractéristiques des serveurs web pour déterminer la réputation des sites web, objets, URLs, et adresses IP, permet de couvrir efficacement les menaces actuelles.

Classé dans Sécurité Tag(s) associé(s): , , ,

Sécurité et contrôle dans un monde Web 2.0 – Le web, premier vecteur d’infection (3)

juin 25, 2010 par Laisser un commentaire

Sites légitimes, des menaces invisibles

Mais le meilleur véhicule pour distribuer le malware est sans contexte l’utilisation des sites légitimes. A la différence de sites malveillants, qui sont créés spécifiquement pour distribuer du malware, les sites légitimes bénéficient d’une bonne réputation, et les utilisateurs ont toute confiance dans leur contenu. De plus, dans la plupart des cas, l’accès à ces sites est autorisé par la politique d’usage acceptable des ressources internet de l’entreprise (via le filtrage d’url). La combinaison de la confiance des utilisateurs, de l’accessibilité et du volume de trafic que reçoivent ces sites en fait des cibles clés pour distribuer du malware.

Les équipes d’audit sécurité de White Hat Security estiment que désormais, plus de 79% des sites web qui distribuent des codes malicieux sont des sites légitimes, qui ont été piratés à cette fin. Mais pire encore, White Hat affirme que neuf sites sur dix pourraient être vulnérables à une attaque, avec sept sur dix qui sont vulnérables aux attaques de type cross-site Scripting (XSS, voir plus loin), et un sur cinq vulnérable à des attaques basées sur la technique d’injection SQL. Ce qui signifie que la plupart des logiciels malveillants ne sont pas téléchargés depuis des sites à problèmes potentiels (musique, pornographie, etc.) mais distribués à la base par des sites légitimes, utilisés comme véritables plateformes de distribution du malware. Le problème est donc réel et massif !

Mais comment des sites légitimes peuvent-ils distribuer du malware ? Tout d’abord, le hacker va pirater le site web en utilisant une technique d’attaque telle que :

•            Cross-site Scripting (XSS)

Ce type d’attaque exploite une vulnérabilité régulièrement présente dans les applications web permettant à des utilisateurs malicieux d’injecter du code via aux utilisateurs qui se connectent au site. Ce code est alors exécuté par le navigateur de la victime. Ces attaques sont fréquemment conduites en utilisant des éléments html tels que les frame (cadres) et images, ou du JavaScript.

•            SQL injections

Cette technique d’attaque tire partie d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Les hackers reposent sur le fait que les administrateurs des sites web ne valident pas les données rentrées par les utilisateurs dans des formulaires web (fenêtre de login, formulaires d’inscription), leur permettant ainsi d’injecter les commandes désirées afin de prendre le contrôle du site web.

•            Buffer overflows

Le principe de cette vulnérabilité classique, mais toujours efficace, consiste à envoyer trop de données à une application par rapport à ce qui est prévu en stockage mémoire. Cela permet de créer un incident dans le programme d’exécution et au pirate de faire exécuter les commandes qu’il souhaite sur le serveur.

Eu égard au nombre de sites web légitimes qui délivrent du malware, il est clair que ce ne sont pas ces sites qui créent ou délivrent directement le code malicieux. En fait, le site est piraté en utilisant une des techniques évoquées ci-dessus, puis modifié pour rediriger automatiquement de façon transparente l’utilisateur vers une adresse IP ou un lien contenant le malware. C’est ce qui est arrivé à Business Week, Wired, CNET, Bank of India, et bien d’autres. La méthode la plus courante, utilisée pour manipuler le navigateur et lui faire télécharger le malware, est d’utiliser les iFrame.

Les attaques iFrame

En quoi consiste cette technique ? Une fois cette exploitation de vulnérabilité dans le site web utilisée, le pirate a la possibilité de modifier les pages du site pour que le malware soit distribué aux visiteurs lorsqu’ils viendront naviguer sur le site. Et bien souvent, ceci est réalisé grâce à la balise HTML iFrame (on parle donc souvent d’attaques iFrame). En effet, le langage HTML est basé sur l’utilisation de balises permettant de présenter et de formater les informations, textes, images, sons, vidéos, etc. que l’on souhaite afficher sur une page Web. La balise iFrame est l’une des composantes du langage HTML utilisée pour créer des pages Web sur Internet.

Quelques-unes des balises les plus connues sont <b> pour la mise sous caractères gras, <font> pour définir les règles de présentation des caractères (taille, couleur, etc.), <script> permettant d’inclure du code script tel que JavaScript, par exemple, pour dynamiser ou ajouter des fonctionnalités aux pages, <frame> pour inclure un cadre dans la page, etc. La balise iFrame signifie inline frame et s’écrit en HTML <iFrame>. Elle est utilisée pour inclure à l’intérieur d’une page HTML un autre document HTML, et particulièrement des informations stockées sur différents sites Internet. Les concepteurs de sites ont le plus souvent recours à la balise <iFrame> pour permettre l’affichage de publicités, ces dernières étant hébergées sur des serveurs leur étant dédiés.

Figure  - Un site français légitime distribuant du malware

Figure  - Le code HTML et la redirection iFrame

Le « drive by download »

Il suffit donc désormais qu’un utilisateur navigue sur le site web pour que le malware soit téléchargé sur son poste sans que l’utilisateur ne voie quoi que ce soit, et sans même qu’il ne clique sur une quelconque fenêtre. Le logiciel malveillant va tout simplement exploiter une vulnérabilité du navigateur Web pour s’installer tout seul sur le poste de l’utilisateur. Cette forme de téléchargement automatique du logiciel malveillant sans aucune action de l’utilisateur et sans que celui-ci ne s’en rende compte représente désormais la majorité des infections Web. C’est ce que l’on appelle le “drive-by download”, qui, combiné aux attaques iFrame, permet d’infecter de nombreux postes sans aucune interaction de l’utilisateur, l’attaque étant rendue totalement transparente, et ayant lieu sur un site que l’utilisateur visite sans doute régulièrement et dans lequel il place une confiance totale.

Schéma de l’attaque

En résumé, le schéma classique d’une attaque via un site légitime respecte les étapes suivantes :

Un pirate, grâce à une vulnérabilité du serveur Web ou à des failles dans le code des pages, parvient à corrompre une des pages d’un site web (disons par exemple une page d’un site de diffusion d’informations en ligne, donc considéré habituellement comme un site de confiance, www.newsenligne.com). Cette corruption se fait de plus en plus souvent par une technique dite d’injection SQL, consistant à injecter des instructions (par exemple la création de la balise iFrame) en langage SQL dans des – formulaires sur le site concerné. Le pirate ajoute sur une page du site une balise iFrame qui redirige les utilisateurs à leur insu vers un site contenant des contenus malveillants, géré par le pirate, disons par exemple le site www.yourspyware.com . De plus, il rend cette balise invisible à l’affichage grâce à une instruction HTML.

se connectant sur ce site très fréquenté, l’utilisateur télécharge le contenu du site et l’affiche dans son navigateur Web. Si l’utilisateur consulte la page infectée par le pirate, la page envoyée au poste de l’utilisateur contient désormais la balise iFrame invisible.

Tandis que l’utilisateur lit la page du site newsenligne, des connexions se lancent à son insu vers le site www.yourspyware.com. Son poste télécharge alors automatiquement des logiciels malveillants, par exemple un cheval de Troie, grâce à l’exploitation de vulnérabilités dans le navigateur web.

Le pirate a désormais accès au poste de l’utilisateur grâce à la porte dérobée ouverte par le Cheval de Troie. Le poste peut alors par exemple faire partie d’un réseau de zombies. Ou alors le pirate peut envoyer un keylogger sur le poste qui volera des informations personnelles sur celui-ci.

Les attaquants utilisent des techniques de plus en plus complexes pour échapper aux outils de détection, par exemple en multipliant les redirections entre le site légitime de base corrompu, et le site final distribuant le malware.

Classé dans Sécurité Tag(s) associé(s): , ,

Sécurité et contrôle dans un monde Web 2.0 – Le web, premier vecteur d’infection (2)

juin 22, 2010 par 1 Commentaire

Techniques d’infection web

Deux grandes techniques sont possibles pour infecter une machine qui navigue sur Internet : Soit il faut rediriger l’utilisateur vers un site web pirate qui héberge le code malveillant, avec par exemple l’utilisation de phishing, soit l’utilisateur est infecté en naviguant sur un site légitime (signifiant que le site légitime a été légèrement modifié pour rediriger vers le malware). Cette dernière technique, extrêmement pernicieuse, est en plein développement, et représente désormais presque 80% des infections !

Pour rediriger l’utilisateur vers un site pirate, rien de tel que le spam. En effet, et cela représente une évolution majeure depuis 2007, le spam porte désormais moins sur la vente de produits que sur le développement de réseaux de zombies. Auparavant le spam avait en effet comme objectif principal la vente de produits (pharmaceutiques, prêts à faibles taux, valeurs boursières, etc.). Aujourd’hui, une très forte majorité des messages spam comporte des liens pointant vers des sites Web qui diffusent des codes malveillants, ces derniers ayant pour but d’étendre la taille et la portée du réseau de zombies à l’origine du spam. Le spam est donc de moins en moins utilisé pour vendre, mais plutôt pour démultiplier des attaques.

Les réseaux de machine zombies sont également à l’origine d’attaques reposant sur les sites Web 2.0 et en particulier les réseaux sociaux. L’attaque Koobface (pour facebook) est à ce titre représentative de ces nouvelles techniques d’attaque. Dans le scénario de Koobface, l’utilisateur reçoit un message d’un de ses contacts facebook (préalablement piraté) l’invitant à visualiser une « vidéo sympa ». L’utilisateur clique sur le lien et est redirigé vers un site singeant le site youtube qui demande à l’utilisateur de mettre à jour son lecteur flash afin de pouvoir visualiser la vidéo. Bien évidemment, il ne s’agit aucunement d’une mise à jour mais ce sera bien le malware qui sera téléchargé, faisant une victime de plus et une nouvelle machine membre du botnet.

L’exploitation de ces réseaux sociaux et des outils web 2.0 repose également sur des outils comme la messagerie instantanée, ou encore twitter, comme l’illustre l’exemple ci-dessous. L’imagination des pirates n’a pas de limite !

Twitter comme vecteur de diffusion de menaces

Classé dans Sécurité Tag(s) associé(s): , , ,

Sécurité et contrôle dans un monde Web 2.0 – Le web, premier vecteur d’infection (1)

juin 17, 2010 par Laisser un commentaire

Le Web, premier vecteur d’infection

Traditionnellement, le vecteur email a longtemps été la première méthode pour faire entrer du malware dans les entreprises : Les virus et autres codes malicieux peuvent se présenter sous forme d’attachements, mais il est également possible de se faire infecter simplement en lisant l’e-mail ou en le pré visualisant (dans ce dernier cas, il s’agit de scripts automatisés qui vont infecter le poste). Mais désormais, le vecteur web prend une place de plus en plus importante : La meilleure preuve est que désormais, plus de 80% des messages spam incluent des URLs, qui redirigent l’utilisateur vers un site web sur lequel est hébergé le malware. Mais ces sites malicieux, spécifiquement créés pour distribuer du malware, ne sont pas les seuls sites infectant des machines.  Mais avant de voir comment se déroule une infection web, intéressons nous quelques instants à la raison qui pousse certaines personnes à développer, distribuer, et exploiter du malware : l’argent.

Le modèle économique

La motivation financière des hackers a conduit ces dernières années à l’explosion du nombre de machines infectées organisées en réseau par les pirates : c’est ce que l’on appelle les réseaux d’ordinateurs zombies (ou réseaux de robots – botnets en anglais), et il s’agit d’une des menaces les plus sérieuses pour la sécurité des systèmes d’information. Un ordinateur zombie est une machine sur laquelle est installé un code malicieux à l’insu de l’utilisateur, mais qui ne commet pas d’action malveillante à l’instant où il est installé. A l’issue de l’installation, le pirate peut demander à distance au poste infecté de réaliser lui-même une attaque ou d’exécuter tout type d’action malfaisante. Le poste infecté devient donc un véritable zombie aux ordres du pirate, et ce, à l’insu du propriétaire de la machine.

Vol d’information

Une fois le code malicieux installé, celui ci peut voler, par exemple tout ce qui ressemble à un login/password, des informations personnelles (carte de crédit, identité), ou des informations confidentielles de l’entreprises. Elles sont ensuite déposées sur un serveur (le plus souvent le fameux serveur de commande et contrôle du botnet)

Cyber extorsion, crimeware, scareware

Il est possible lorsque le pirate peut donner des ordres à la machine infectée, de modifier de nombreux paramètre pour par exemple changer les résultats des moteurs de recherche afin de rediriger l’utilisateur vers des sites spécifiques, mais également, et c’est une pratique de plus en plus répandue, de faire croire via des pop-ups incessants que le PC est infecté et tenter de vendre une soi-disant solution de sécurité. Petit à petit, le malware désactive des fonctions du PC et multiplie les pop-ups afin que l’utilisateur finisse par acheter le logiciel qui se contente évidemment de… désactiver le malware. Cette forme d’extorsion de fond est de plus en plus répandue.

Figure 1 – Modification de la page Google après une infection

Figure 2 – Un bureau modifié pour forcer l’achat d’un faux anti-virus

DoS/DDos

Les attaques de dénis de service distribuées (DDoS) représentent une utilisation fréquente des réseaux de zombies. Ceux-ci vont attaquer en s’y connectant de façon simultanée des passerelles HTTP ou des sites Internet connus, les saturant ainsi complètement, et les empêchant donc de fonctionner normalement voire même de rester en état de fonctionnement. Cela peut résulter en des pertes de chiffre d’affaires colossales, par exemple pour des sociétés de commerce en ligne.

Spam

Les réseaux de zombies servent également souvent à envoyer du spam. Le spammeur se camoufle ainsi derrière des postes qui effectuent le sale travail à sa place. Cisco estime aujourd’hui que plus de 80% du spam mondial proviendrait de postes zombies. Une attaque spam d’importance peut généralement utiliser des zombies éparpillés dans plus d’une centaine de pays.

Phishing

Les zombies servent également aux pirates à lancer leurs attaques phishing : les e-mails envoyant des liens vers des sites frauduleux partent ainsi de machines tierces, rendant très difficile la localisation du pirate.

L’évolution vers plus de professionnalisation a structuré le modèle économique des menaces vers plus de spécialisation : Il existe désormais des loueurs ou vendeurs de Botnet, des fournisseurs de toolkits permettant de créer du malware, etc. Mais comment se fait-on infecter ?

Classé dans Sécurité Tag(s) associé(s): , ,

Cisco Annual Security Report : Une bonne nouvelle

janvier 12, 2010 par 1 Commentaire

Tout d’abord, le blog sécurité Cisco vous présente ses meilleurs voeux pour 2010 ! Que cette année vous soit bénéfique sur le plan professionel et personnel.

Mais revenons au rapport annuel sur la sécurité Cisco, dont j’avais commencé à parler dans une note précédente. Avant de rentrer dans le traditionnel exercice des prévisions pour 2010, attardons nous un instant sur… une bonne nouvelle. En effet, s’il y a bien une chose qui ressort de 2009, c’est que les éditeurs de logiciels dans leur ensemble ont travaillé dur (et devraient continuer à le faire en 2010) pour patcher les vulnérabilités dans leurs produits. Pour preuve, en prenant en compte simplement septembre et octobre 2009, Cisco (et oui, on est aussi concernés :-) ), Microsoft, Oracle, et Adobe ont patché plus de 100 vulnérabilités !

Quant au rythme de découvertes de nouvelles vulnérabilités, il s’est stabilité en 2009 par rapport à 2008. Par contre, l’exploitation de ces vulnérabilités continue à fortement augmenter…

Classé dans Sécurité Tag(s) associé(s): , , ,

Les firewall nouvelle génération – épisode 2

septembre 24, 2009 par 1 Commentaire

Avant l’été, j’avais posté un court article mettant en exergue le fait que la terminologie UTM est devenue, les années passant, synonyme d’ « économique » et « peu performant (en vitesse et qualité) ». L’idée est de s’interroger sur les fonctions à mettre en œuvre dans une plateforme de sécurité périmétrique, et quels services nous devons en attendre. En avant pour le deuxième épisode de cette réflexion !

Bien évidemment, loin de moi l’idée de prêcher contre l’approche consistant à intégrer plusieurs services sur un seul équipement. Non. Il est clair que pour des questions de rationalisation des architectures de sécurité d’accès internet, de coût, de réduction de la complexité et de simplification du pilotage, l’intégration de plusieurs fonctions de sécurité doit se faire, mais en incluant des innovations dans les fonctions et dans la façon d’adresser les attaques, avec des performances adaptées aux réseaux d’aujourd’hui.

Les besoins de sécurité pour un équipement multifonctions sont de trois ordres : Se protéger des menaces, faire respecter une politique d’usage acceptable du réseau, et fournir une connectivité de qualité et sécurisée.

La connectivité sécurisée

Le support dans ce domaine du VPN IPSec et SSL (avec ou sans client, via un mode portail), est un élément important. Mais à partir du moment ou la technologie VPN-SSL est supportée, elle doit offrir des fonctions de protection des informations, pour, par exemple, s’assurer que de l’information confidentielle, accédée par un PC en libre service dans un hall d’hôtel, ne restera pas en cache à la déconnexion de l’utilisateur nomade…

Politique d’usage acceptable

Savoir quel protocole est autorisé, quand, et l’usage qui peut en être fait est une des fonctions fondamentales des firewalls. A l’avenir, ceux-ci vont évoluer petit à petit pour prendre en compte de plus en plus de granularité dans l’usage qui peut être fait du protocole http (que l’on peut qualifier de « nouveau tcp »), et vers un lien plus étroit avec les annuaires d’entreprise afin d’écrire des règles sur les identités des utilisateurs et non sur des blocs d’adresses IP.

Se protéger des menaces : l’enjeu majeur

Nous sommes dans un écosystème criminel, avec toujours plus de spam & spammeurs, toujours plus d’attaques web, et toujours plus de hacking. Les menaces d’aujourd’hui ont évolué et les technologies réactives actuelles sont dépassées. Le nombre d’échantillons uniques de code malicieux identifiés explosent, et les nouvelles menaces changent quelques éléments de leur code à chaque propagation, ce qui les rend indétectable par des technologies à base de signature (voir schéma ci-dessous)

Echantillons uniques de codes malicieux

Echantillons uniques de codes malicieux

Les infections par le web, quant à elles, se font via des sites légitimes (qui ont été piratés et qui redirigent l’utilisateur de manière transparente sur un site hébergeant le code malicieux), ou via des sites dont la durée de vie n’excède pas quelques heures… Encore une fois, les technologies réactives, telle le filtrage d’url par catégorie, sont largement dépassées par ces menaces.

Au final, on constate l’explosion du nombre de machines sur lesquelles tournent des logiciels malveillant et qui sont pilotés à distance, les fameux réseaux de machines zombies ou Botnets. Et ces botnets représentent un des plus grands défis en matière de sécurité.

On le voit, dans ce contexte, reposer sur des technologies traditionnelles et réactives (anti-virus, filtrage d’url) ne sont pas suffisants pour prendre en compte les menaces actuelles. Et si en plus ces fonctions sont dégradées car intégrées dans un équipement supportant de multiples fonctions, le niveau de protection sera clairement insuffisant.

Dans ce contexte, Cisco propose donc un changement radical : En plus d’avoir des solutions de sécurité qui regardent en profondeur, Cisco crée une base de données temps réel, hébergée, base de connaissance des menaces de toutes sortes et des adresses IP qui en sont à l’origine. Cette base, nommée SensorBase, évolution de la base de réputation initiée par IronPort, récolte des informations en temps réel sur l’état des menaces, les analyse (automatiquement et manuellement, grâce à 500 analystes répartis dans les Threat Operation Center) et crée des mises à jour immédiatement utilisables par les technologies IronPort et désormais firewall et IPS. L’histoire d’IronPort a démontré que cette approche permettait de traiter efficacement et plus rapidement les menaces liées à l’email et au web. Les attaques d’aujourd’hui utilisant simultanément plusieurs vecteurs, la corrélation d’informations sur tous les types d’attaques combinée à un filtrage par réputation est clé pour adresser les futures menaces.

Cela revient donc à avoir un service hébergé de suivi des menaces “in the cloud”, pour reprendre une terminologie actuelle, et des produits plus simples à exploiter qui utilisent cette information.

Nous verrons bientôt comment cette approche est utilisée par l’ASA et les IPS dans le portfolio sécurité Cisco, et reviendrons sur l’intérêt d’intégrer un anti-virus ou un IPS dans la fameuse « plateforme multifonction ». Nous reparlerons aussi de l’approche sécurité sur les PME, cible privilégiée de ces équipements multifonctions.

Classé dans Sécurité Tag(s) associé(s): , , , , , ,

Articles plus récents

Suivre

Get every new post delivered to your Inbox.