Les outils d'analyse du trafic réseau jouent un rôle nouveau et crucial

Le premier guide du cabinet Gartner sur les outils d'analyse du trafic réseau pour la sécurité va souffler sa première bougie. Découvrez comment l'analyse du trafic réseau s'élargit pour inclure la sécurité des réseaux.

Gartner a publié son premier rapport de guide de marché pour la catégorie des outils d'analyse du trafic réseau (NTA, Network Traffic Analysis) en février 2019. Ces outils, peut-on y lire, présentent des fonctionnalités qui leur permettent de détecter le trafic suspect qui passerait inaperçu avec d'autres outils de sécurité. Les analystes jugent là essentielles les caractéristiques suivantes :

  • Ces outils s’appuient sur la capture de paquets ou les données de flux – NetFlow, sFlow, IPFIX – en temps quasi réel ou mieux.
  • Ils utilisent des techniques d’analyse comportementale comme l'apprentissage automatique (par opposition à la détection basée sur des signatures).
  • Ils opèrent dans la phase de détection, et non dans celle de l’investigation après incident.
  • Ils analysent le trafic nord-sud et est-ouest et signalent les événements suspects.

Il existe également des critères d'exclusion restrictifs. Ainsi, la catégorie des outils d’analyse du trafic réseau ne fonctionnent pas à partir de journaux d’activité ni de règles et signatures, comme beaucoup d’outil ont pu le faire historiquement.

Comment fonctionnent les outils de NTA

L'analyse du trafic réseau à des fins de sécurité peut être obtenue de différentes manières. L'apprentissage automatique (ou machine learning), une forme simple d’intelligence artificielle, est l'une des composantes clés des outils de NTA, car il automatise la réponse à un problème perçu. Il est essentiel que les outils d'analyse du trafic réseau fonctionnent en temps réel – ou presque. Les menaces peuvent se propager très rapidement au sein d'une organisation, en suivant à la fois les chemins de trafic réseau nord-sud (client vers serveur) et est-ouest (serveur vers serveur). L’automatisation de l’analyse du trafic et de la réaction sont nécessaires pour empêcher la propagation rapide de nouvelles menaces.

Certaines organisations sont encore sceptiques à l'égard des systèmes de réponse automatisés, préférant utiliser des méthodes manuelles pour réagir aux événements de sécurité. Mais la diffusion de rançongiciels – pour ne citer qu’eux – est plus rapide qu’il n’est possible de réagir manuellement. Cela va inciter toutes les organisations à adopter des systèmes de correction et de réponse entièrement automatisés.

Et il est préférable d'utiliser une intelligence artificielle adaptable ou un mécanisme d'apprentissage automatique dans les outils d'analyse du trafic réseau : les variations subtiles des mécanismes d'attaque et de distribution des charges malveillantes rendent des systèmes à base d’heuristique très rapidement obsolètes.

La matrice de cyberdéfense du Nist

Les outils d'analyse du trafic réseau couvrent tout un ensemble de fonctions. Une façon d’appréhender l’étendue des capacités de ces outils consiste à utiliser la matrice de cyberdéfense du Nist américain.

Celle-ci permet de constater que les systèmes de NTA apportent des capacités à trois niveaux : les terminaux, le réseau, et les utilisateurs. Pour le premier, ils contribuent à la détection des menaces et à leur confinement. Pour le second, ils couvrent l’identification des flux, la détection des menaces, et aident à leur contrôle par de possibles intégration avec les pare-feu et autres systèmes de prévention des intrusions (IPS). Enfin, au niveau des utilisateurs, les systèmes de NTA peuvent aider à détecter des comportements à risques – volontaires comme accidentels.

Choisir un outil de NTA

Il y a plusieurs éléments à prendre en compte dans le choix d’un outil de NTA. Et cela commence par la manière dont le trafic est surveillé. Une capture complète des paquets est-elle requise, ou les données de flux, comme NetFlow, sFlow ou IPFIX suffisent-elles ? Combien de points de collecte faut-il prévoir ?

Certains réseaux ont une topologie centralisée dans laquelle il y a quelques points clés d'agrégation du trafic. Mais une topologie plus distribuée nécessitera de multiplier les points de collecte du trafic. Des brokers de paquets réseau peuvent être nécessaires pour consolider les informations relatives aux flux réseau et les distribuer au système de NTA. Cela permet d'améliorer la visibilité et la couverture de l’infrastructure.

Il est également nécessaire de savoir si des retours sont requis pour améliorer l’entraînement des modèles générés par les algorithmes de machine learning. De fait, dans certains cas, il peut falloir indiquer si une anomalie a été correctement identifiée ou si elle constitue un faux positif. Il est alors important de bien comprendre le niveau d’expertise et d’effort qu’il faudra fournir afin d’assurer le succès du déploiement de l’outil de NTA. Bien entendu, il convient de vérifier le montant total de la facture, y compris l'effort nécessaire à la mise en œuvre d’un outil d'analyse du trafic réseau en open source.

Le rapport du cabinet Gartner comprend une longue liste de produits commerciaux. Les outils open source peuvent offrir une alternative, à condition d’être prêt à investir beaucoup de temps pour les comprendre, les installer et les maintenir. Mais de nombreux systèmes d'analyse de trafic réseau open source consistent en réalité en un ensemble de plusieurs outils qui recueillent, indexent et stockent les données de trafic et les analysent.

Perspectives

L'augmentation de la puissance de calcul et la diminution de son coût ont mis à la portée de nombreuses applications des technologies avancées comme l'apprentissage automatique. L'analyse du trafic réseau est l'une de ces applications. Il existe également un certain nombre de plateformes de machine learning open source, permettant aux entreprises d'intégrer plus facilement cette technique sans avoir à partir de rien. Quoi qu’il en soit, il faut s’attendre à ce que les résultats progressent à mesure que la technologie mûrit, notamment en open source.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)