Réseau de collecte et cybersécurité
Picto Visibilité & Securité - Interdata

Le réseau de collecte au service de la détection d’intrusions de nouvelle génération

En termes de sécurité, les entreprises, après s’être longtemps dotées d’équipements analysant les flux entrant et sortant, ont désormais besoin d’analyser plus finement le contenu des flux internes à leur SI pour se protéger. Alors comment mieux détecter les cyberattaques tout en analysant l’ensemble du trafic ? Comment définir les meilleurs points de collecte ? Quel accompagnement apporte un intégrateur sécurité ?

Les flux informatiques deviennent de plus en plus critiques pour les grandes entreprises et administrations, que ce soit pour moderniser leur stratégie de défense contre les cyberattaques (analyse comportementale à base d’intelligence artificielle) ou pour monitorer la performance de leur SI (communication unifiée, applications, transactions…). Dans ce contexte le déploiement d’un réseau de collecte s’impose comme une bonne pratique permettant de capturer et agréger les flux vers l’ensemble des sondes déployées sur le réseau, d’optimiser le coût de déploiement de ces sondes et de faciliter leur exploitation. En les combinant à des solutions IDS de nouvelle génération, l’investissement se révèle rentable à court terme.

Chiffres sur cybersécurité - Interdata

Déterminer les comportements malicieux en sondant l’intégralité du réseau

Comment mieux détecter les cyberattaques grâce à leur comportement plutôt que selon leur signature, tout en analysant l’ensemble du trafic à la fois nord-sud mais aussi est-ouest ? Tout simplement au travers de solutions de détection d’intrusion (IDS) de nouvelle génération associées à un réseau de collecte.

Grâce à une visibilité la plus exhaustive du trafic réseau, l’IDS nouvelle génération est en mesure de détecter l’activité anormale d’une machine puis de reconstruire le parcours d’un assaillant. À la différence des solutions IDS traditionnelles, les scénarios du type « exfiltration de données » sont identifiés sans même avoir besoin de déchiffrer le trafic SSL. La solution accorde à chaque événement ou suite d’événements une note de risque et de certitude qui permet de prioriser le traitement des incidents. Cette analyse comportementale est importante, car, une fois à l’intérieur du réseau et pour passer sous les radars, les cyber-assaillants s’appuient très souvent sur des outils et protocoles légitimes (RPC, WMI, SMB, powershell…)

L’enjeu : déterminer les bons points de collecte

« Notre premier rôle en tant qu’intégrateur est d’aider les entreprises à déterminer quels sont les meilleurs points de collecte pour éviter les zones d’ombres L’objectif est de véritablement d’analyser l’intégralité des flux, mais aussi de pouvoir les comparer avant et après qu’ils traversent certains serveurs. Très souvent, notre intervention permet à nos clients de découvrir que des anomalies d’architecture existent sur leurs réseaux, typiquement des liens en trop qui pénalisent les performances et augmentent le coût en équipements. Ces anomalies sont communes ces dernières années, car elles naissent lors des rachats d’entreprises ou des changements de personnels. À un certain moment, les équipes en place n’ont plus aucune idée du chemin que suivent leurs flux », témoignent certains de nos clients.

A ce propos, l’un des facteurs aggravants du manque de visibilité est la virtualisation, dans laquelle les serveurs virtualisés sont susceptibles de se déplacer d’un serveur physique à un autre. Pour contourner cette problématique, nous proposons le déploiement de TAPs virtuels capables de collecter les flux entre les VM.

Alimentées de ce trafic entre machines virtuelles déployées sur des hyperviseurs (VMWare ESX/NSX ou OpenStack KVM) ou en cloud public (Amazon AWS / Microsoft Azure), les solutions IDS de nouvelle génération sont en capacité d’avoir une visibilité totale sur le trafic de l’entreprise, lui permettant de détecter le moindre comportement suspect au sein de ce trafic.

Performance, visibilité et sécurité - Interdata

Le rôle clé de l’intégrateur sécurité : intégrer des solutions d’IDS nouvelle génération dans l’écosystème du client

« Quand nous déployons des solutions IDS de nouvelle génération, nous rencontrons souvent chez nos clients des serveurs mal configurés qui scannent le réseau ou tentent des connexions multiples vers des systèmes qui ne sont plus opérationnels. Le travail d’Interdata consiste donc à les accompagner dans le triage de ces faux positifs, de sorte qu’ils n’apparaissent pas dans la console de surveillance en tant qu’alertes », expliquent les experts Interdata.

L’autre rôle de l’intégrateur consiste à intégrer les solutions IDS nouvelle génération aux infrastructures et outils de sécurité déjà en place. Certaines actions peuvent être automatisées via des API permettant, par exemple, de s’interconnecter avec des firewalls pour leurs signaler qu’une machine n’a plus le droit de communiquer sur Internet. Il est aussi utile d’exporter les logs des IDS vers des SIEMs.

En l’occurrence, il est nécessaire que ces dispositifs SIEM soient en capacité d’interpréter les logs et autres informations envoyés par l’IDS. Nous créons donc des parsers à base d’expressions régulières. Dans un second temps, nous pouvons aider nos clients à créer des tableaux de bord pour piloter ces informations. Cette intégration, spécifique à chaque client, conditionne la rapidité de mise en place du projet.