Les systèmes UTM modernes prétendent à une sécurité vraiment unifiée

Des attaques toujours plus sophistiquées ont poussé les fournisseurs de systèmes UTM à ajouter des fonctionnalités avancées à leurs produits.

Selon une récente étude de l’Economist Intelligence Unit, de nombreuses organisations manquent de confiance dans leurs procédures de détection des intrusions et de réactions. Les inquiétudes portent notamment sur la rapidité de détection de nouveaux incidents, et en particulier les attaques avancées persistantes ainsi que les incidents impliquant des employés.

Les systèmes de gestion unifiée des menaces (UTM) intègrent de plus en plus des fonctionnalités toujours plus sophistiquées de prévention et de détection des incidents. Quelles sont-elles et comment les mettre à profit pour prévenir les intrusions et accélérer la détection des incidents susceptibles de survenir ?

Prévention des pertes de données

Les technologies de prévention des pertes de données (DLP) visent à la détection et au blocage des tentatives d’exfiltration de données sensibles, depuis l’organisation et vers l'extérieur. Un système de DLP peut ainsi protéger des contenus tels que des numéros de sécurité sociale, de cartes de crédit, des enregistrements médicaux et de la propriété intellectuelle. Beaucoup imaginent que le DLP est une technologie limitée au texte - e-mail et documents Office en particulier - mais elle est également capable d’analyser audio, vidéo et d’autres formes de fichiers non texte.

L’UTM est positionné dans l’infrastructure à une place naturellement adaptée au DLP, en lui offrant une vision sur les contenus véhiculés par le trafic sortant. Il convient, dans un premier temps, de configurer le DLP en mode de test, afin qu’il enregistre les activités suspectes, mais sans les bloquer. C’est ainsi que les équipes de sécurité peuvent affiner les règles de configuration du système de DLP et éviter de bloquer par inadvertance un trafic légitime. Une fois sa configuration affinée, le DLP peut être pleinement activé.

Sandboxing

Certains systèmes UTM peuvent fonctionner en collaboration avec un service de sandboxing en mode Cloud. Si l’UTM d’une organisation observe un exécutable suspect essayant d’entrer sur le réseau, le système peut en suspendre temporairement la transmission et en transférer une copie au bac-à-sable en mode Cloud pour une évaluation plus poussée. Ce bac-à-sable offre un environnement sûr, isolé, pour lancer l’exécutable et analyser son comportement afin que l’UTM décide de l’autoriser ou de l’interdire.

Le sandboxing est une avancée inestimable pour l’identification de logiciels malveillants avancés et émergents, en particulier lorsque l’UTM est positionné de sorte à surveiller le trafic entrant. Mais certaines organisations interdisent la transmission d’exécutables sur le réseau. Là où les exécutables sont déjà bloqués, le sandboxing en mode Cloud risque de gaspiller des ressources sans apporter de véritable bénéfice de sécurité.

Gestion de la bande passante

Certains systèmes UTM proposent enfin l’application de règles de qualité de service. La bande passante de certains - sinon tous -  services réseau (passant à travers l’UTM) se trouve ainsi gérée afin qu’aucun ne consomme trop de la bande passante disponible au sein de l’UTM. Ce type de disposition peut être efficace pour limiter l’impact de certaines attaques en déni de service distribué.

Les organisations devraient envisager sérieusement de surveiller l’utilisation de leur réseau avant d’activer ces fonctionnalités. Elles peuvent ainsi s’assurer de définir des seuils correspondant aux besoins réels des utilisateurs. Sinon, des trafics réseaux critiques pourraient être malencontreusement ralentis, sinon bloqués.

Les systèmes UTM sont de plus en plus efficaces pour la détection et le blocage des menaces avancées. Les organisations préoccupées par leurs capacités à faire face à ces menaces devraient envisager sérieusement de renouveler leurs UTM pour profiter de leurs nouvelles capacités avancées.

Adapté de l’anglais par la rédaction.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)