Fotolia
Postes de travail et réseau : la sécurité se dirige vers une approche intégrée
Associer réseau et points de terminaison pour obtenir une vision complète de la menace, et pouvoir lutter contre elle dans chacune de ses dimensions. Prometteuse, cette approche intégrée a déjà été adoptée par plusieurs acteurs.
A l’automne dernier, Forescout, spécialiste du contrôle d’accès réseau (NAC), et Crowdstrike ont annoncé un partenariat stratégique, expliquant vouloir fournir « visibilité, détection de menaces, et réponse complètes » pour leurs clients conjoints. Il ne s’agissait pas seulement d’une approche commerciale consolidée, mais au-delà, de la « construction d’une solution intégrée ».
En fait, les deux partenaires semblent s’être convertis à une approche qui tend à se généraliser. Pour protéger le SI en profondeur, il faut faire travailler de concert les équipements réseau et les hôtes de l’infrastructure, ces fameux points de terminaison (ou endpoints), serveurs comme postes de travail et appareils mobiles.
C’est dès le mois de mai 2014 que Sophos a commencé à articuler une telle stratégie avec son projet Galileo. Fin 2015, il lui donnait une première concrétisation avec la fonction Security Heartbeat. A l’époque, Michel Lanaspèze, directeur marketing de l’éditeur pour l’Europe de l’ouest, en expliquait l’objectif : « le but est d’aller un cran plus loin dans la manière d’adresser les menaces avancées persistantes […] l’idée consiste à faire fonctionner l’ensemble de nos mécanismes de défense comme un système : protection réseau et poste de travail, chiffrement des données, etc. »
Faire tomber les silos
Il replaçait cette réflexion dans le contexte des systèmes de protection courants. « Les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail, mais pas ce qui s’y passe. Et ils ne connaissent rien de l’utilisateur. A l’inverse, les systèmes de protection du poste de travail n’ont pas de visibilité sur le réseau, ils ne disposent donc pas forcément d’informations sur les signes émanant d’autres appareils connectés ».
Autrement dit, chaque équipement connecté au système d’information se comporte, d’une certaine manière, comme un silo, du point de vue de la sécurité plus globale de l’ensemble.
Depuis, avec sa solution (désormais baptisée Intercept X), Sophos a bien avancé. Il l’a récemment complétée avec la technologie d’Invincea, racheté en février 2017. Celle-ci est déjà proposée pour l’analyse d’éléments suspects, statique, avant exécution éventuelle, à la recherche de caractéristiques susceptibles de trahir un code malveillant, pour la seconde version d’Intercept X.
Elle intervient donc en complément de celle de SurfRight, racheté par Sophos fin 2015, qui se concentrait sur la détection et la prévention des manipulations en mémoire vive et des abus qui permettent à du code malicieux de s’exécuter.
Au-delà Sophos prévoit de mettre à profit « le savoir-faire d’Invincea en Deep Learning dans d’autres choses, dans le réseau et ailleurs ». En définitive, « le périmètre d’application est quasiment illimité ».
Une tendance de fond
Depuis l’annonce de son projet Galileo, Sophos a été rejoint par bien d’autres acteurs, au premier rang desquels Fortinet. L’équipementier a présenté, au printemps 2016, sa Security Fabric, une architecture qui s’appuie sur une série d’interfaces pour multiplier les intégrations multilatérales. A l’époque, son annonce s’est accompagnée de celle d’un premier partenariat, avec Carbon Black.
Mais Security Fabric doit s’appréhender comme une entité unique « d’un point de vue des règles et de la gestion des logs ». Ces deux premiers piliers permettent d’envisager de mettre en place des segmentations de l’infrastructure avec une granularité très élevée. Security Fabric doit aussi se nourrir de et alimenter le renseignement sur les menaces, à partir d’informations collectées en interne, mais également de flux externes.
Dans cette perspective, l’annonce, en janvier 2017, de FortiSIEM n’a rien de surprenant : cette solution vise à rapprocher équipes de supervision réseau (NOC) et équipes de supervision de la sécurité (SOC).
Palo Alto Networks s’inscrit également dans cette mouvance, avec son Application Framework, les capacités d’analyse comportementale réseau (NTA) de LightCyber, mais aussi Traps, qu’il positionne désormais en alternative à l’antivirus.
On trouve la même approche chez Kaspersky, avec KATA, pour lutter contre les menaces avancées, ou encore chez Check Point avec sa plateforme Infinity, présentée mi-mai 2017.
L’an passé toujours, WatchGuard avait avancé dans la même direction, avec son service Threat Detection and Response, qui visait à proposer une approche intégrée de la protection contre les menaces, qui couvrait à la fois le réseau et les hôtes qui y sont connectés.