Aperçu de la plateforme analytique de Blue Coat

L’expert Dan Sullivan se penche sur la plateforme que propose l’équipementier pour collecter des informations réseau complètes et leur appliquer des analyses de sécurité ciblées.

Plus les attaques sont sophistiquées, plus il est important de disposer d’outils d’analyse capables de collecter des informations relatives aux activités sur le réseau et tous les équipements qui y sont connectés.

La plateforme analytique de Blue Coat est conçue pour collecter des données complètes sur le trafic réseau et pour les analyser. L’équipementier la décrit comme une caméra de surveillance pour le réseau. Cette analogie vise à souligner que si du trafic malicieux est amené à traverser le réseau de l’organisation, il sera enregistré.

Capacités analytiques

La plateforme analytique de Blue Coat fonctionne en partant de l’hypothèse selon laquelle toutes les données réseau sont potentiellement importantes. Elle collecte donc des données depuis la couche 2 du modèle ISO, jusqu’à la couche 7. Cette approche complète de la collecte de données implique que des traces d’activités malicieuses seront enregistrées, quelle que soit la couche réseau concernée. La plateforme analytique de Blue Coat offre également de la visibilité sur le trafic chiffré SSL.

Le produit classe et stocke les données pour permettre des analyses en temps réel ainsi que des investigations post mortem – elle s’intègre d’ailleurs avec le produit d’investigation et de réponse à incident de Blue Coat. La plateforme utilise en outre l’inspection de paquets en profondeur (DPI) pour offrir des services de classement applicatif pour plus de 2 500 applications reconnues. De quoi permettre aux administrateurs d’étudier le trafic suivant un vaste éventail de métadonnées.

La plateforme analytique de Blue Coat intègre en outre des fonctionnalités de détection d’anomalies, qui assurent l’analyse statistique des données pour identifier des comportements anormaux et potentiellement malveillants. Elle propose également des capacités de filtrage dynamique que les administrateurs peuvent utiliser pour séparer et hiérarchiser différents types de trafic réseau en fonction de leur propension à être vecteur de menaces. Enfin, la plateforme supporte les environnements industriels ICS/Scada.

Tableaux de bord et alertes

Collecter trop de données est aussi mauvais que ne pas en collecter suffisamment, si l’on ne sait trouver ce dont on a besoin, au moment où on en a besoin. La plateforme analytique de Blue Coat intègre un tableau de bord pour présenter l’activité en cours. Il est également utilisé pour certaines opérations de gestion de configuration. Ce tableau de bord peut être utile pour obtenir une rapide vue d’ensemble de l’état de la plateforme.

Mais le système génère également des alertes qui peuvent être transmises aux administrateurs systèmes par e-mail, SNMP ou syslog. Blue Coat a par ailleurs récemment ajouté un tableau de bord dédié à ces alertes, où les administrateurs peuvent consulter un historique contextualisé des alertes ainsi que le niveau de dangerosité.

Déploiement

La plateforme analytique de Blue Coat peut être déployée comme une application logicielle, une appliance virtuelle, ou encore une appliance préconfigurée. Les clients peuvent sélectionner la capacité de stockage en fonction de leurs besoins. Mais puisque tout le trafic réseau est supervisé, il est important d’avoir une politique de rétention des données. Certaines organisations peuvent vouloir préserver virtuellement toutes les données sur de longues périodes, mais ce n’est guère une option viable pour qui que ce soit. Il est donc essentiel de bien évaluer ses besoins, en tenant compte de ses ressources budgétaires.

Les organisations intéressées peuvent contacter Blue Coat pour plus d’informations sur les licences et les offres de support proposées. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)