Rapport des Menaces pour le Quatrième Trimestre 2011

janvier 25, 2012 par Laisser un commentaire

Cisco Security Intelligence Operation (SIO) a permis la réalisation de ce rapport en synthétisant les évolutions des menaces sur les problématiques Web et Mail.

Les principaux métriques publiés dans ce rapport sont:

  • Une moyenne de 339 malwares web par mois et par les utilisateurs a été constatée au cours du quatrième trimestre 2011
  • La moyenne par mois des malware web par utilisateurs sur l’année 2011 s’élève à 362
  • Septembre, avec 698 malwares web par utilisateur, et Octobre, avec 697 malwares par utilisateur, ont été les deux mois les plus actifs en termes de visibilité des menaces
  • En moyenne, 20,141 hôtes uniques de malware web ont été découverts par mois, en forte augmentation par rapport à 2010 où la moyenne s’établissait “seulement” à 14,217
  • Durant le quatrième trimestre 2011, 33% des malwares découverts étaient de type “0-day” et n’était donc pas détectable par les technologies traditionnelles à base de signature.
  • Le taux d’attaques par SQL injection est resté constant avec une légère décroissance au fur et à mesure que le trimestre progressait
  • Les attaques par déni de services ont continué à progresser
  • Le volume global du spam à continuer à décliner sur l’ensemble de l’année

Le rapport ainsi que les précédentes publications de sécurité peuvent être dorénavant consultés sur le portail de SIO  avec l’ensemble des alertes et analyses déjà présentes.

Classé dans Sécurité Tag(s) associé(s): , , , , ,

Cisco ScanSafe: L’expansion continue

novembre 29, 2011 par Laisser un commentaire

En moins d’un an, le nombre de datacenter ScanSafe est passée de 13 à 21 avec l’addition récente de deux nouveaux datacenter au Canada.

Image

Cette importante capillarité de points d’accès permet aux clients du service de protection web en ligne ScanSafe de bénéficier du datacenter le plus proche de leur point de connexion. Cependant, le plus important est que cette multiplication des points d’accès permet à Cisco de continuer à fournir depuis plus de 7 ans un service qui n’a connu aucune indisponibilité. Aucune!

Cisco Scansafe continue depuis maintenant plus de 7 ans à fournir de la sécurisation en ligne pour les accès web en permettant à nos clients d’avoir la connexion la plus proche et la plus robuste du marché.

Pour plus d’informations sur ScanSafe: http://www.cisco.com/go/scansafe

 

A bientôt pour l’ouverture des futurs datacenter à Dubai et au Mexique.

Classé dans Sécurité Tag(s) associé(s): , , , ,

Sécurité dans un environnement Web 2.0 : Solutions pour contrôler l’usage des ressources Internet

octobre 19, 2010 par Laisser un commentaire

Suite de note dossier consacré au web, et à la solution de sécurité Web en mode appliance, WSA, la première solution du marché à combiner dans un seul et même boitier une défense anti malware en profondeur, multi niveaux, des fonctions de politique d’usage acceptable, et de sécurité des données.

Un focus particulier a été mis sur la protection de données et les politiques d’usage acceptable afin de pouvoir contrôler efficacement l’usage des ressources Internet dans le monde du Web tel que nous le connaissons aujourd’hui, dynamique, multiple et changeant.

Usage acceptable dans un monde Web 2.0 : Cisco IronPort Web Usage Control

Les solutions de filtrage d’URL ne peuvent seules permettre de résoudre les enjeux posés par le « web inconnu » et le contrôle des multiples applications véhiculées dans les flux web. Cisco IronPort a développé la technologie Cisco IronPort Web Usage Controls en combinant des fonctions de filtrage d’URL par catégorie, des fonctions de classification automatique qui catégorise jusqu’à 90% du « web inconnu » en temps réel, et des fonctions de visibilité et de contrôle applicatif. Ainsi, les équipes sécurité peuvent reprendre la main et implémenter des fonctions de protection des informations et d’usage acceptable.

Une efficacité à la pointe de l’industrie

Cisco IronPort Web Usage Controls utilise une catégorisation à plusieurs niveaux afin de fournir la meilleure efficacité et couverture du web, fournissant 65 catégories et une base de données d’URLs qui couvre les sites de plus de 200 pays et 50 langues.

La fin du web inconnu

Cisco SIO met à jour la base de donnée toutes les 5 minutes, tirant parti de la visibilité unique sur plus de 30% du trafic internet mondial.

Catégorisation dynamique : en temps réel, directement sur l’appliance

En plus des catégories, un moteur innovant d’analyse évalue tout le contenu non catégorisé – y compris le contenu caché dans une tunnel SSL- afin de prendre une décision de classification en temps réel. Cette catégorisation utilise des méthodes heuristiques avancées afin de calculer un vecteur qui est comparé à une liste de modèles prédéfinis. Cette catégorisation automatique permet donc de classifier les sites inconnus mais également les sites dont le contenu est généré dynamique à la connexion en fonction de l’utilisateur, ainsi que par exemple les sites uniquement accessibles avec un mot de passe.

 

Processus de classification dynamique

En combinant un filtrage par catégorie et des mécanismes de classification automatiques, la solution est capable de classifier jusqu’à 90% du « web inconnu », et ainsi permettre d’implémenter réellement une politique d’usage acceptable.

 

Côté application, le Web est devenu la plateforme universelle pour les applications : Cela inclue les applications qui utilisent un navigateur comme client, comme Google Apps et Salesforce.com, mais également les applications qui utilisent un client propre pour délivrer du contenu riche, tel Apple iTunes et Cisco Webex. Toutes ces applications utilisent le protocole web comme media pour entrer et sortir du flux des entreprises.

Contrôle des applications Web

Cisco IronPort Web Usage Controls permet d’implémenter des politiques de sécurité non pas uniquement sur la catégorie du contenu, mais également sur l’application qui est utilisée, au travers d’une visibilité applicative avancée dans les flux web. Ainsi, en plus de pouvoir bloquer ou autoriser des applications par type ou individuellement, un politique granulaire concernant l’usage de l’application peut être implémentée, comme par exemple :

Limiter la bande passante consommée par les applications de streaming (tel Youtube) afin de contrôler la congestion liée à une consommation excessive de bande passante par ces flux.

Autoriser le trafic de messagerie instantanée, mais interdire le partage de fichier via ces outils

Imposer l’utilisation du « safe search » des moteurs principaux de recherche comme Google et Bing, mais également sur les sites hébergeant du contenu généré par les utilisateurs comme YouTube ou Flickr.

Ces contrôles sont supportés grâce à une base de donnée de reconnaissance d’applications maintenue par les équipes du Cisco Security Intelligence Operations center, garantissant l’adaptation rapide aux changements de fonctionnement des applications ou le support de nouvelles.

Contrôle des applications en mode SaaS

 

Une grande partie des fonctions nécessaires à la protection des applications en mode SaaS est fournie par « Web Usage Control », permettant d’implémenter une politique spécifique à certaines applications SaaS – Webex, Google docs… Mais il est nécessaire d’aller plus loin, notamment dans la gestion de l’identité et des droits d’accès.

Pour cela, la solution Cisco IronPort WSA inclue un mécanisme d’authentification, basé sur les standards, pour ramener le contrôle aux équipes IT. En effet, l’appliance WSA va s’authentifier au nom de l’employé en utilisant le standard SAML 2.0 (Security Assertion Markup Language – supporté par les fournisseurs majeurs de solutions SaaS). Ce processus utilise les droits d’accès et les credentials de l’utilisateur stockés dans l’annuaire de l’entreprise (Active Directory, Annuaire LDAP). Les administrateurs gardent ainsi le contrôle sur les droits d’accès, et l’expérience utilisateur est améliorée car cela leur offre une fonction de Single Sign-On !

La solution SaaS incorporée dans Cisco IronPort WSA permet aux équipes IT de contrôler les droits d’accès aux applications en mode SaaS et d’implémenter des fonctions de sécurité, tout en améliorant l’expérience utilisateur (plus besoin d’un login spécifique pour chaque application).

La solution de contrôle des applications en mode SaaS

Combiné à la solution Cisco AnyConnect Secure Mobility de gestion des nomades, cette capacité permet de sécuriser les applications en mode SaaS quel que soit le contexte de connexion, que l’utilisateur soit dans l’entreprise ou en situation de mobilité.

Classé dans Sécurité Tag(s) associé(s): , , ,

Sécurité dans un environnement Web 2.0 : L’anti-malware

octobre 14, 2010 par Laisser un commentaire

Souvenez-vous, avant les vacances, j’avais évoqué les limitations des solutions actuelles à sécuriser l’usage du web qui a fortement évolué ces derniers temps. Bon, si vous ne vous souvenez pas, il n’est pas interdit de relire les post précédents… Bref, l’objectif en cette rentrée (certes nous sommes déjà en octobre et la rentrée devrait être loin, mais la rentrée du blog sécurité s’est faite attendre :-) ), c’est d’aborder les solutions pour ramener usage acceptable et sécurité dans les environnements web2.0 (nous parlons ici de solution côté client, c’est à dire protéger le surf des utilisateurs). L’approche Cisco pour la sécurisation des flux web des entreprises repose sur la solution Cisco IronPort Web Security Appliance (WSA) et sur l’offre SaaS Cisco ScanSafe. Dans un premier temps, intéressons nous à l’approche appliance : WSA est la première solution du marché à combiner dans un seul et même boitier une défense anti malware en profondeur, multi niveaux, des fonctions de politique d’usage acceptable, et de sécurité des données. Ce système de défense à plusieurs niveaux, en conjonction avec un proxy Web extrêmement puissant, garantit non seulement une amélioration significative des performances, mais aussi une fiabilité supérieure à celle des systèmes classiques.

Cisco SIO

Cisco Security Intelligence Operations représente l’infrastructure de suivi des menaces et de génération des contre mesures de Cisco. Cette structure comprend plus de 500 analystes répartis autour du globe dans des Threat Operation Center (TOC) en 24/24 7/7. Ces analystes ont en charge notamment l’exploitation de Cisco SensorBase, le plus ancien et le plus vaste réseau de surveillance du trafic e-mail, web, et du trafic suspect mondiaux. SensorBase collecte des données provenant de pas moins de 130 000 réseaux différents à travers le monde, soit 700 000 équipements remontant des informations, représentant par exemple plus de 30% du trafic e-mail planétaire et 5 milliards de requêtes web, et surveille plus de 200 paramètres distincts relatifs une adresse IP émettant du trafic mail ou hébergeant un service web. SensorBase contrôle donc un grand nombre de paramètres réseau concernant toute adresse IP hébergeant un serveur Web, comme l’historique du site, son pays, son volume de trafic, sa présence sur des listes noires ou blanches, etc.

Plus de 600 sources externes (CERT, white et black list, …) viennent enrichir SensorBase. En accédant à un très large échantillon de données, SensorBase est ainsi en mesure d’évaluer avec une extrême précision le comportement et la réputation de chaque expéditeur ou de chaque site. SensorBase applique des algorithmes qui analysent ces paramètres de niveau réseau et en tirent un «score de réputation » (e-mail ou Web) compris entre -10 et +10. Ce score est ensuite communiqué en temps réel aux équipements Cisco IronPort lorsqu’un utilisateur tente d’accéder à un site.

L’équipe veille à l’actualisation et à la précision des données SensorBase, afin que les administrateurs puissent s’en remettre à celles-ci pour automatiser la sécurité e-mail et Web, et la prévention des Intrusions. L’empreinte unique de SensorBase, à la fois en terme de quantité d’infirmation remontée et en terme de diversité des vecteurs d’attaques (information sur les attaques mail, web, et attaques ciblées via les IPS), permet de corréler les informations et de garantir des scores de réputation pertinents et proactifs.

Fonctions Anti-malware innovantes intégrées à Cisco IronPort WSA

Pour être efficace face au malware, la technologie Cisco IronPort WSA combine plusieurs techniques : Une approche proactive grâce aux filtres de réputation web, et une approche réactive grâce à l’analyse de contenu

Les filtres de réputation Web, une approche unique

Les filtres de réputation exploitent les 200 paramètres Web et réseau, spécifiques et pondérés, analysés par SensorBase au sein de la structure Cisco SIO. Sur la base des notes de réputation ainsi calculées (s’échelonnant de -10 à +10), les accès aux URL correspondantes sont filtrés en temps réel. Suivant les réglages, les sites Web ayant une « mauvaise réputation » sont bloqués, tandis que les autres requêtes peuvent faire l’objet d’une analyse supplémentaire. L’analyse de réputation porte non seulement sur la requête initiale de l’utilisateur, mais aussi sur chacune des demandes suivantes du navigateur, par exemple pour incorporer des contenus multimédias qui peuvent être hébergés sur différents serveurs Web. 70% des malware sont ainsi bloqués directement à la connexion, de façon proactive, sans analyse de contenu.

 

L'ensemble des objets composant les pages web est analysé

 

Il est important de noter que les filtres de réputation web analysent chaque requête que le navigateur fait (de la requête HTML initiale aux requêtes suivantes pour récupérer chacun des objets composant la page), qui peuvent provenir de plusieurs domaines. Ainsi, dans le cas d’un site légitime piraté qui contiendrait une redirection transparente de l’utilisateur vers une adresse distribuant un malware, seule cette dernière requête sera bloquée pro activement grâce aux filtres de réputation : L’utilisateur accède à son site web, mais totalement protégé.   Dans le cas d’une note neutre ou intermédiaire (par exemple entre -5 et +5), WSA peut alors pratiquer un déchiffrement SSL sélectif. Les flux HTTPS provenant de sites à la réputation douteuse seront ainsi déchiffrés pour être inspectés, alors que la confidentialité des flux HTTPS légitimes sera respectée. Les transactions SSL vers des sites à mauvaise réputation seront systématiquement coupées au niveau de la connexion, ne nécessitant donc pas non plus de déchiffrement.

 

En fonction de la réputation l'objet est bloqué, autorisé, ou passe par une analyse plus poussée

 

Enfin, Les filtres de réputation web sont mis à jour en temps réel grâce à la connexion avec SensorBase, simplifiant grandement l’administration des Appliances.

Le filtrage de contenu

Cisco IronPort Anti-Malware System scrute et contrôle les contenus Web en se référant à des signatures de codes malveillants. Pour ce faire, le système combine de multiples bases de signatures anti-virus/Anti-malware leaders du marché avec le moteur exclusif Cisco IronPort DVS (Dynamic Vectoring & Streaming). Le moteur DVS a notamment la particularité d’effectuer les scans en mode « streaming », sans avoir besoin de télécharger entièrement les objets analysés. Il en résulte un débit élevé et des temps de latence réduits, qui autorisent pour la première fois la mise en œuvre de fonctions d’analyse poussées sur une passerelle HTTP. Des systèmes de rapports sont bien évidemment disponibles afin de visualiser les attaques évitées et les tendances historiques. Voilà comment l’on se protège du malware avec WSA. Un prochain article reviendra sur la notion d’usage acceptable du web…

Classé dans Sécurité Tag(s) associé(s): , , ,

Suivre

Get every new post delivered to your Inbox.