alphaspirit - Fotolia
Cisco étend son offre de sécurité
L’équipementier a profité de sa grand messe annuelle pour présenter notamment un produit issu de travaux de recherche dévoilés l’an dernier et visant à repérer les activités malveillantes dans les flux réseau chiffrés.
A l’occasion de Cisco Live, qui se déroulait fin juin à Las Vegas, l’équipementier ne s’est pas contenté de moderniser ses commutateurs. Il a également mis en avant l’extension de son offre en matière de sécurité.
En la matière, l’annonce la plus marquante est peut-être celle de la fonctionnalité Encrypted Trafic Analytics (ETA). Celle-ci s’appuie sur les informations NetFlow pour détecter les communications de logiciels malveillants malgré leur chiffrement avec TLS, et sans chercher à le casser. Il s’agit en fait de rendre concrètement accessibles le fruit des travaux de recherche de Blake Anderson, Subharthi Paul et David McGrew, trois ingénieurs de Cisco. Ces derniers avaient levé le voile sur leurs travaux l’an dernier. A cette occasion, ils expliquaient que « TLS introduit un ensemble complexe de caractéristiques observables permettant de tirer de nombreuses inférences tant sur le serveur que sur le client ». De quoi « détecter et comprendre les communications de logiciels malveillants », tout en préservant la confidentialité des échanges légitimes.
L’an passé, les chercheurs assuraient réussir à 90,3 % à attribuer un flux réseau chiffré isolé à la bonne famille de logiciels malveillants, et à plus de 93 % « en utilisant tous les flux chiffrés sur une fenêtre de 5 minutes ».
Mais avec ETA, Cisco va plus loin, s’appuyant l’apprentissage machine pour établir un profil du comportement réseau normal des hôtes et des utilisateurs de l’entreprise pour mieux en détecter les dérives. Et d’ajouter à cela un effort de corrélation entre ces anomalies et des profils comportementaux associés à des menaces. ETA doit être supporté à partir de Cisco IOS XE 16.6, notamment sur les commutateurs Catalyst 9300, 9400 et 9500.
Dans un billet de blog, Vectra Networks n’a pas manqué de réagir à l’annonce en se montrant particulièrement critique. Cette jeune pousse spécialiste de la détection des signaux faibles sur le réseau, estime ainsi que pour pouvoir maintenir à jour son modèle de trafic chiffré malicieux, Cisco « va devoir collecter de vastes volumes d’échantillons ». Mais l’équipementier semble prêt à cela : dans une billet de blog, Blake Anderson explique que Cisco a « systématiquement collecté et analysé les captures de paquets générés par des logiciels malveillants » et cela pour rien moins que de deux ans.