imtmphoto - Fotolia
Suivi des attaques en profondeur : Juniper répond à Cisco
Juniper a amélioré son service Cloud de détection de logiciels malveillant Sky ATP. De quoi venir concurrencer AMP de Cisco.
Juniper Networks s’attaque à la technologique AMP de Cisco, acquise avec le rachat de Sourcefire, avec une solution Cloud visant à protéger le réseau de l’entreprise à partir de ses points d’entrée.
C’est à l’occasion de sa conférence utilisateurs NXWork que Juniper a présenté une version plus évoluée de Sky Advanced Threat Protection (ATP) : celle-ci étend le périmètre du service de détection de logiciels malveillants des pare-feu physiques SRX à leurs versions virtuelles et aux commutateurs d’accès.
Sky ATP et Cisco AMP s’appuient tous deux sur des services en mode Cloud pour détecter les menaces et suivre leur progression au sein de l’infrastructure. Mais pour David Monahan, analyste chez Enterprise Management Associates, « les deux architectures présentent les mêmes faiblesses. Si vous n’êtes pas 100 % Cisco ou Juniper, ou que vous n’avez pas une version très récente du système d’exploitation du commutateur, vous ne pouvez pas invoquer certaines fonctionnalités, sinon toutes ».
Mais l’analyste estime toutefois qu’une parfaite homogénéité avec l’un ou l’autre des équipementiers constitue une meilleure méthode d’identifier les logiciels malveillants sur les PC et terminaux mobiles en s’appuyant sur les points d’entrée du réseau.
Sky ATP met à profit le machine learning
Sky ATP fournit inspection du trafic, détection de logiciels malveillants en ligne, et reporting. Le service utilise plusieurs techniques pour identifier les menaces. Cela recouvre l’utilisation de bases de signatures pour les logiciels malveillants connus ainsi que d’algorithmes d’apprentissage automatique pour la détection de comportements anormaux.
« Ce qui distingue Sky ATP de certains de ses concurrents est l’utilisation d’algorithmes d’apprentissage automatique pour réaliser des analyses statiques et dynamiques de contenus potentiellement malicieux », explique Mark Hung, analyste chez Gartner. Et de souligner que « les approches traditionnelles s’appuient sur des méthodes de curation manuelle pour analyser les menaces potentielles ».
Les menaces détectées par Sky ATP peuvent déclencher la mise en quarantaine des terminaux compromis par les équipements réseau de Juniper. Les actions de remédiation dépendent là des règles déployées via Junos Space Security Director. Jusqu’ici, ce dernier ne fonctionnait qu’avec les pare-feu Juniper. Mais avec le lancement de Sky ATP, l’équipementier a ajouté le composant Policy Enforcer qui étend les capacités de son logiciel à ses commutateurs EX et QFX.
Sky APT peut bloquer les contenus malveillants de plusieurs types : exécutables, PDF, documents Office, contenus Java, Flash ou encore DLL. Le service est proposé aux clients Juniper disposant d’un contrat de maintenance pour des pare-feu SRX. La version premium, qui supporte un éventail plus étendu de types de fichiers, requiert une licence distincte.
Le composant Policy Enforcer nécessite également la souscription d’une licence supplémentaire, facturée au nombre d’équipements administrés.
Adapté de l’anglais.