Sourcefire étend le suivi du cheminement des menaces
Sourcefire vient de mettre à jour sa technologie FireAMP. Issue du rachat d’Immunet en janvier 2011, celle-ci assure l’analyse déportée des menaces informatiques ainsi que le suivi de leur cheminement dans le système d’information.
Sourcefire vient de mettre à jour sa technologie FireAMP. Issue du rachat d’Immunet en janvier 2011, celle-ci assure l’analyse déportée des menaces informatiques ainsi que le suivi de leur cheminement dans le système d’information. Initialement purement logicielle, la solution est proposée depuis début mars sous la forme d’une appliance, avec pour ambition de multiplier les points de contrôle et, ainsi, d’affiner la traçabilité des menaces identifiées, à postériori, dans le réseau de l’entreprise. Interrogé à l’époque, Olivier Friedrichs, vice-président sénior de la division Technologies Cloud de Sourcefire, expliquait que «l’une des clés du concept est de dire que l’on s’est trompé, et de reconnaître que nos outils ont, dans un premier temps, laissé passer le logiciel malveillant», pour mieux remonter le cheminement de l’infection et l’éradiquer.
L’éditeur de franchir une étape supplémentaire en mettant à contribution ses systèmes de prévention des intrusions (IPS) et des pare-feu déployés dans l’infrastructure. En plus d’un suivi des postes de travail touchés par le logiciel malveillant, la solution peut désormais s’appuyer sur les traces de celui-ci laissées sur les équipements réseau de sécurité pour offrir une traçabilité plus fine : point d’entrée, mode de propagation, protocoles utilisés, etc. Plus question donc de se contenter des appliances FireAMP déployées ici ou là, c’est toute l’infrastructure de sécurité qui peut être mise à contribution. La solution est au passage enrichie d’indicateurs de compromission visant à alerter sur des événements apparemment bénins mais potentiellement révélateurs d’une situation sérieuse. Ceux-ci sont notamment alimentés par la corrélation des activités sur les postes de travail avec le trafic sur le réseau.
Le client peut aller encore plus loin et activer, en option, la surveillance des URL accédées depuis un poste de travail infecté et même, plus généralement, l’ensemble de ses communications. Et cela, pas seulement sur une URL primaire, comme celle d’une page Web compromise par une attaque de type watering hole, mais également une URL secondaire concernée.
Début mars, Oliver Friedrichs avait fait état d’une réflexion sur la structure tarifaire de l’offre FireAMP, pouvant conduire à la création de niveaux de service différents pour refléter les coûts d’exploitation de l’éditeur. Pour l’heure, indique-t-il, la structure tarifaire de Sourcefire reste inchangée.