débats et discussions sur le futur de la sécurité informatique
avril 29, 2010 Laisser un commentaire
Chaque année les Awards décernés par SC Magazine honorent certaines entreprises et produits qui aident les entreprises à se défendre des menaces. Cette année, le proxy Cisco IronPort Série S a été désigné meilleure solution de sécurité Web, Cisco IronPort Série C a été désigné comme meilleure appliance de sécurité des emails, et Cisco a également été désigné comme meilleure solution IDS/IPS !
novembre 23, 2009 Laisser un commentaire
Difficile de rester à jour à propos des nouvelles menaces. De nouveaux virus et exploits apparaissent chaque jour, la réputation des sites et adresses IP évoluent… Pour vous aider, Cisco a développé une application iPhone permettant d’accéder à la base de connaissance Cisco SIO. Une sorte de Cisco SIO à emporter !
Plus de détails sur http://csioiphone.com/ et sur itunes.
novembre 3, 2009 Laisser un commentaire
Le sujet est d’actualité, et est surtout vu comme une opportunité par de nombreux constructeurs et éditeurs pour pousser les solutions VPN-SSL. En effet, quelle meilleure technologie que le SSL, qui permet un accès aux données simple et universel via un navigateur web ? Alors certes, une difficulté qui peut se présenter est la sécurité des données. En effet, les utilisateurs qui se connectent avec des ordinateurs dont on ne maîtrise pas le contenu ne doivent pas mettre en danger l’information accédée et le réseau de l’entreprise. Mais il existe pour cela une réponse technologique : lorsque l’utilisateur se connecte en VPN SSL on créé une sorte de « bureau virtuel » qui isole totalement la session VPN du reste de l’ordinateur (chez Cisco, supporté dans l’ASA).
Seulement voilà, préparer un plan de continuité en cas de pandémie, ce n’est pas juste déployer du VPN SSL ! En effet, après avoir catégorisé les rôles et la responsabilité des employés, afin de déterminer quels employés doivent accéder à quelles applications ou informations, on se rend souvent compte que les besoins en terme de communication sont variés. Les solutions technologiques à mettre en oeuvre doivent donc l’être tout autant….
Cisco fait donc appel à un ensemble de technologies diverses et variées : réseau privé virtuel (ou VPN – Virtual Private Network), téléphonie sur IP, conférences et outils collaboratifs. Ces technologies vont être combinées pour apporter un niveau de réponse adapté aux besoins définis pour chaque utilisateur (en fonction de son rôle, de son équipement, etc.), tout en maintenant la sécurité des données critiques de l’organisation. Ainsi, Cisco propose en gros quatre niveaux de solutions, en fonction de la fréquence et du niveau d’accès nécessaire d’une part, de l’investissement financier d’autre part :
● Réunions virtuelles et partage de document: Webex.
● Accès aux données simple et universel via un navigateur web : VPN-SSL (principalement ASA), qui a été évoqué ci dessus.
● Extension du réseau wifi/téléphonique au domicile de l’utilisateur: Moins connu, pour les entreprises équipées d’un système de téléphonie sur IP Cisco et d’un boîtier ASA, il est possible de simplement ajouter un téléphone IP derrière l’équipement d’accès à internet au domicile de l’employé pour qu’il puisse retrouver son environnement téléphonique (numéro de ligne, raccourci, messagerie vocale…) . Une solution particulièrement intéressante pour des entreprises dont l’essentiel de l’activité se fait par téléphone.
● Extension complète du bureau à la maison : Consiste, pour les télétravailleurs très réguliers, à re-créer entièrement l’environnement de travail du collaborateur à son domicile.
En conclusion, la préparation d’un plan de continuité d’activité ne doit pas reposer sur une technologie unique mais combiner plusieurs solutions existantes pour répondre aux besoins réels de communication des collaborateurs….
septembre 24, 2009 1 Commentaire
Avant l’été, j’avais posté un court article mettant en exergue le fait que la terminologie UTM est devenue, les années passant, synonyme d’ « économique » et « peu performant (en vitesse et qualité) ». L’idée est de s’interroger sur les fonctions à mettre en œuvre dans une plateforme de sécurité périmétrique, et quels services nous devons en attendre. En avant pour le deuxième épisode de cette réflexion !
Bien évidemment, loin de moi l’idée de prêcher contre l’approche consistant à intégrer plusieurs services sur un seul équipement. Non. Il est clair que pour des questions de rationalisation des architectures de sécurité d’accès internet, de coût, de réduction de la complexité et de simplification du pilotage, l’intégration de plusieurs fonctions de sécurité doit se faire, mais en incluant des innovations dans les fonctions et dans la façon d’adresser les attaques, avec des performances adaptées aux réseaux d’aujourd’hui.
Les besoins de sécurité pour un équipement multifonctions sont de trois ordres : Se protéger des menaces, faire respecter une politique d’usage acceptable du réseau, et fournir une connectivité de qualité et sécurisée.
La connectivité sécurisée
Le support dans ce domaine du VPN IPSec et SSL (avec ou sans client, via un mode portail), est un élément important. Mais à partir du moment ou la technologie VPN-SSL est supportée, elle doit offrir des fonctions de protection des informations, pour, par exemple, s’assurer que de l’information confidentielle, accédée par un PC en libre service dans un hall d’hôtel, ne restera pas en cache à la déconnexion de l’utilisateur nomade…
Politique d’usage acceptable
Savoir quel protocole est autorisé, quand, et l’usage qui peut en être fait est une des fonctions fondamentales des firewalls. A l’avenir, ceux-ci vont évoluer petit à petit pour prendre en compte de plus en plus de granularité dans l’usage qui peut être fait du protocole http (que l’on peut qualifier de « nouveau tcp »), et vers un lien plus étroit avec les annuaires d’entreprise afin d’écrire des règles sur les identités des utilisateurs et non sur des blocs d’adresses IP.
Se protéger des menaces : l’enjeu majeur
Nous sommes dans un écosystème criminel, avec toujours plus de spam & spammeurs, toujours plus d’attaques web, et toujours plus de hacking. Les menaces d’aujourd’hui ont évolué et les technologies réactives actuelles sont dépassées. Le nombre d’échantillons uniques de code malicieux identifiés explosent, et les nouvelles menaces changent quelques éléments de leur code à chaque propagation, ce qui les rend indétectable par des technologies à base de signature (voir schéma ci-dessous)
Echantillons uniques de codes malicieux
Les infections par le web, quant à elles, se font via des sites légitimes (qui ont été piratés et qui redirigent l’utilisateur de manière transparente sur un site hébergeant le code malicieux), ou via des sites dont la durée de vie n’excède pas quelques heures… Encore une fois, les technologies réactives, telle le filtrage d’url par catégorie, sont largement dépassées par ces menaces.
Au final, on constate l’explosion du nombre de machines sur lesquelles tournent des logiciels malveillant et qui sont pilotés à distance, les fameux réseaux de machines zombies ou Botnets. Et ces botnets représentent un des plus grands défis en matière de sécurité.
On le voit, dans ce contexte, reposer sur des technologies traditionnelles et réactives (anti-virus, filtrage d’url) ne sont pas suffisants pour prendre en compte les menaces actuelles. Et si en plus ces fonctions sont dégradées car intégrées dans un équipement supportant de multiples fonctions, le niveau de protection sera clairement insuffisant.
Dans ce contexte, Cisco propose donc un changement radical : En plus d’avoir des solutions de sécurité qui regardent en profondeur, Cisco crée une base de données temps réel, hébergée, base de connaissance des menaces de toutes sortes et des adresses IP qui en sont à l’origine. Cette base, nommée SensorBase, évolution de la base de réputation initiée par IronPort, récolte des informations en temps réel sur l’état des menaces, les analyse (automatiquement et manuellement, grâce à 500 analystes répartis dans les Threat Operation Center) et crée des mises à jour immédiatement utilisables par les technologies IronPort et désormais firewall et IPS. L’histoire d’IronPort a démontré que cette approche permettait de traiter efficacement et plus rapidement les menaces liées à l’email et au web. Les attaques d’aujourd’hui utilisant simultanément plusieurs vecteurs, la corrélation d’informations sur tous les types d’attaques combinée à un filtrage par réputation est clé pour adresser les futures menaces.
Cela revient donc à avoir un service hébergé de suivi des menaces “in the cloud”, pour reprendre une terminologie actuelle, et des produits plus simples à exploiter qui utilisent cette information.
Nous verrons bientôt comment cette approche est utilisée par l’ASA et les IPS dans le portfolio sécurité Cisco, et reviendrons sur l’intérêt d’intégrer un anti-virus ou un IPS dans la fameuse « plateforme multifonction ». Nous reparlerons aussi de l’approche sécurité sur les PME, cible privilégiée de ces équipements multifonctions.
juillet 21, 2009 Laisser un commentaire
L’équipe de veille sécurité Cisco vient de publier le « 2009 Midyear Security Report » . Bien qu’il ne s’agisse que d’un rapport tendance intermédiaire sur les menaces 2009, à mi-année, il met en exergue quelques tendances marquantes que vous trouverez résumées ci-après :
- Le secteur de l’économie souterraine liée au malware continue de se professionnaliser, en développant de nouveaux modèles économiques qui ont fait leur preuve dans le monde réel. On note ainsi l’apparition de « botnets-as-a-service » reproduisant le modèle en vogue du XaaS, une spécialisation toujours plus accrue des bad guys, et une collaboration entre eux via des « joint venture » appelées à se multiplier (avec une collaboration entre les propriétaires des botnet Wadelac et Conficker, par exemple).
- L’innovation technologique est également au rendez-vous, avec une extrême réactivité (par exemple, il aura fallu attendre moins de 24h après la mort de mickael jackson, pour voir apparaitre des menaces spam liées à son décès). Mais attention, car les vieilles méthodes que l’on pensait parfois enterrées, comme l’exploitation de vulnérabilité dans les OS, fonctionnent toujours, comme en témoigne l’impact massif de Conficker. Enfin, les menaces pesant sur les équipements nomades (smartphones) continuent à augmenter.
- Dans un contexte économique difficile, dans lequel des emplois (et notamment des emplois d’informaticiens) sont détruits, les menaces internes (employés licenciés ou mécontents) devraient fortement croitre dans les mois qui viennent.
Malgré cette vision relativement assez pessimiste quant à l’évolution des attaques et leur succès, il est intéressant de noter deux tendances majeures qui démontrent un progrès dans la façon dont on traite désormais les grandes menaces.
- Des progrès importants ont été effectués dans la manière d’adresser les menaces : Un excellent exemple est l’établissement du conficker working group (www.confickerworkinggroup.org), qui a démontré que lorsque tous les acteurs de la sécurité collaborent, cela a un effet positif (la collaboration entre les acteurs sécurité a permis d’identifier les noms de domaines impliqués dans l’attaque conficker, ceux-ci étant ensuite transmis aux ISP). La fermeture de McColo, célèbre hébergeur de Botnets, démontre également que l’acharnement paie (même si, depuis la chute de McColo, les botnets qui y étaient hébergés ont déménagé vers l’Estonie).
- De plus en plus de pays se renforcent dans leur lutte contre la cybercriminalité : Etats-Unis, Finlande, mais également France, avec la création de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, qui remplace le DCSSI). Le Livre blanc sur la défense et la sécurité nationale de 2008 a mis en exergue l’importance de la cyber-menace. Il a retenu le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures des quinze prochaines années, et explique l’élargissement des compétences de la DCSSI et son changement de nom.
L’intégralité du rapport peut être consultée ici : http://cisco.com/web/about/security/intelligence/midyear_security_review09.pdf.
Bien évidemment, adresser ces menaces se fait avec une approche de gestion du risque et la définition d’architectures de sécurité, mais nous y reviendrons, en particulier autour du datacenter et du XaaS….
