Cisco intègre ses fonctions d’analyse de trafic chiffré aux Catalyst, ASR et ISR

La dernière mouture d'IOS apporte le support des fonctions d'analyse en cloud de flux chiffré aux commutateurs Catalyst ainsi qu'aux routeurs ISR et ASR. Elle concrétise les promesses faites par Cisco en juin dernier autour de sa technologie ETA.

Cisco vient de doper son système d’exploitation réseau IOS pour les commutateurs Catalyst 9000 et pour les routeurs ASR (Aggregation Services Router) et ISR (Integrated Services Router) en intégrant le support d’ETA (Encrypted Trafic Analytics), une fonction qui permet d’effectuer de l’analytique en cloud sur des flux de communications chiffrés.

Outre les Catalyst 9300 et 9400, les produits concernés par l’ajout d’ETA sont les ISR 1000 et 4000 et les ISRv tournant sur l’appliance ENCS 5000 (l’Enterprise Network Compute System est une appliance NFV pour le déploiement de services virtualisés dans les agences), ainsi que les ASR 1000 et les CSR 1000V (les Cloud Service Router sont des routeurs virtualisés).

Cette intégration va permettre aux entreprises de tirer parti du service d’analytique en cloud ETA de Cisco (sur abonnement), un service dévoilé le 20 juin 2017 et qui s’appuie sur le service de cyber intelligence Talos du constructeur. Cisco ETA est officiellement disponible depuis cette semaine. L’annonce a été effectuée par Scott Harrell, le patron de la division réseau d’entreprises dans un billet de blog publié cette semaine.

Le support matériel de Cisco ETA ajoute du concret à l’annonce initiale a expliqué Brad Casemore, un analyste d’IDC à nos confrères de SearchNetworking.com. Selon lui, Cisco a bien choisi les produits pour ses premières intégrations ETA, car ils sont conçus pour apporter des capacités de sécurité renforcées.

Comment fonctionne Cisco ETA ?

La technologie Cisco ETA intégrée dans le système d’exploitation IOS XE permet au matériel d’enrichir les capacités d’analyse NetFlow avec des métadonnées ETA et de les exporter comme des informations de télémétrie additionnelles vers la solution d’analyse de sécurité Stealthwatch Enterprise Edition Flow Collector du fournisseur. Stealthwatch est une console d’analyse qui réside dans le datacenter de l’entreprise et collecte des enregistrements de flux sur les événements réseau, afin qu’ils puissent être analysés pour détecter les activités malveillantes.

Stealthwatch envoie à son tour les métadonnées ETA et la télémétrie au service Cognitive Threat Analytics de Cisco, un service s’appuyant sur des algorithmes de machine learning avancés, qui examine les données, calcule des scores de risque pour les événements et les retourne à la console de gestion Stealthwatch du client. L’objectif est ainsi de faciliter le travail des équipes de sécurité en leur fournissant une visibilité sur des attaques potentielles faisant usage de trafics chiffrés et en améliorant de façon significative le « rapport signal bruit » en matière de sécurité. 

Il est à noter qu’ETA génère ses métadonnées sans décrypter le flux de paquets. La technique de non-décryptage, qui met en œuvre une solution d’apprentissage machine développée par Cisco, est destinée à préserver la confidentialité des données d’une entreprise.

ETA recherche les signes d’activité de logiciels malveillants en s’appuyant sur trois informations des données chiffrées, selon Cisco : le premier paquet de données échangé lors d’une nouvelle connexion réseau, la séquence des longueurs de paquet et leur horodatage et la distribution des tailles de paquets.

Les attaquants devraient s’adapter

Certains experts en sécurité ont expliqué à nos confrères de SearchNetworking.com que la recherche d’activités malveillantes dans le trafic chiffré pourrait mener à un jeu de chat et de souris avec des cybercriminels. À mesure que les attaquants se familiarisent avec les méthodes de détection, « ils vont probablement essayer de modifier leur trafic crypté pour intégrer et supprimer les fonctionnalités sur lesquelles reposent les modèles d’apprentissage machine pour la détection », explique ainsi Nick Bilogorskiy, directeur principal des opérations de menace chez Cyphort.

La sécurité est un élément important de la stratégie de Cisco puisqu’elle est censée générer la moitié de ses revenus provenant des logiciels et des services d’ici l’exercice 2020 (L’exercice fiscal de Cisco s’étend du mois d’août au mois de juillet suivant). Elle s'inscrit plus généralement dans une stratégie visant à développer l'offre de services cloud du constructeur pour accroitre ses revenus récurrents.

Au cours du premier trimestre de l’exercice courant, qui s’est terminé le 28 octobre, Cisco a annoncé que ses revenus de sécurité avaient progressé de 8 % par rapport à l’exercice précédent. La société s’attend à ce que ses initiatives de sécurité et de SDN contribuent à une hausse de son chiffre d’affaires de 1 à 3 % pour le trimestre en cours. Si cela se confirme, Cisco mettrait fin à une série de huit baisses de revenus consécutives de ses revenus trimestriels.

Pour approfondir sur LAN, Wifi