Rawpixel - Fotolia
Sécurité : quand réseau et hôtes de l’infrastructure travaillent main dans la main
Le temps où les systèmes de sécurité réseau fonctionnaient seuls, de manière isolée, est en passe d’être révolu. De plus en plus, les équipementiers misent sur l’intégration avec les points de terminaison de l’infrastructure pour obtenir un contrôle plus complet des menaces.
C’était en mars 2016 : Christian Fredrikson, CEO de F-Secure, affirmait que le endpoint « est de retour ». Et d’expliquer que « des années d’investissement sur le réseau nous en ont convaincus – il est impossible de comprendre pleinement ce qui se passe sur l’infrastructure en se contentant d’observer le réseau. Et à plus forte raison lorsque de plus en plus de flux sont chiffrés ».
En fait, Sophos a commencé à articuler, dès le mois de mai 2014, une démarche stratégique intégrant les équipements réseau et les hôtes de celui-ci, les fameux endpoints (points de terminaison) – serveurs et postes de travail –, avec son projet Galileo. Fin 2015, il lui donnait une première concrétisation avec la fonction Security Heartbeat. A l’époque, Michel Lanaspèze, directeur marketing de l’éditeur pour l’Europe de l’ouest, en expliquait l’objectif : « le but est d’aller un cran plus loin dans la manière d’adresser les menaces avancées persistantes […] l’idée consiste à faire fonctionner l’ensemble de nos mécanismes de défense comme un système : protection réseau et poste de travail, chiffrement des données, etc. »
Combiner les postes d’observation
Et de replacer cette réflexion dans le contexte des systèmes de protection courants : « les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail, mais pas ce qui s’y passe. Et ils ne connaissent rien de l’utilisateur. A l’inverse, les systèmes de protection du poste de travail n’ont pas de visibilité sur le réseau, et ne disposent donc pas forcément d’informations sur les signes émanant d’autres appareils connectés en réseau ».
Autrement dit, chaque équipement connecté au système d’information se comporte, d’une certaine manière, comme un silo, du point de vue de la sécurité plus globale de l’ensemble.
Depuis, avec sa solution désormais baptisée Intercept X, Sophos a bien avancé. Et il l’a récemment complétée avec la technologie d’Invincea, rachetée en février 2017. Celle-ci est déjà proposée pour l’analyse d’éléments suspects, statique, avant exécution éventuelle, à la recherche de caractéristiques susceptibles de trahir un code malveillant, pour la seconde version d’Intercept X. Elle intervient donc en complément de celle de SurfRight, racheté par Sophos fin 2015, qui se concentrait sur la détection et la prévention des manipulations en mémoire vive et des abus qui permettent à du code malicieux de s’exécuter.
Mais Sophos prévoit de mettre à profit « le savoir-faire d’Invincea en Deep Learning dans d’autres choses, dans le réseau et ailleurs ». Parce qu’en définitive, « le périmètre d’application est quasiment illimité ».
Entre temps, toutefois, l’approche consistant à combiner le réseau et ses hôtes dans la lutte contre les menaces s’est généralisée. Fortinet a ainsi présenté, au printemps 2016, sa Security Fabric, une architecture qui s’appuie sur une série d’interfaces pour multiplier les intégrations multilatérales. Cette annonce s’est accompagnée de celle d’un premier partenariat, avec Carbon Black.
Mais Security Fabric doit s’appréhender comme une entité unique « d’un point de vue des règles et de la gestion des logs ». Ces deux premiers piliers permettent d’envisager de mettre en place des segmentations de l’infrastructure avec une granularité très élevée. Security Fabric doit aussi se nourrir de et alimenter le renseignement sur les menaces, à partir d’informations collectées en interne, mais également de flux externes.
Un mouvement global
Palo Alto Networks s’inscrit également dans cette mouvance, avec son Application Framework, les capacités d’analyse comportementale réseau (NTA) de LightCyber, mais aussi Traps, qu’il positionne désormais en alternative à l’antivirus. Et les résultats des tests de NSS Labs confortent cette approche.
Avec sa plateforme Infinity, présentée mi-mai 2017, Check Point a pris la même direction, de même que WatchGuard, avec son service Threat Detection and Response. Et cela vaut également pour l’approche de Kaspersky, avec KATA, pour lutter contre les menaces avancées, ou encore celle de FireEye, avec ses solutions NX, pour le réseau, et HX, pour les hôtes. Et que dire de Cisco entre ses équipements réseau, AMP ou même encore sa plateforme analytique Tetration.
A l’automne dernier, Forescout, spécialiste du contrôle d’accès réseau (NAC), et Crowdstrike ont annoncé un partenariat stratégique, expliquant vouloir fournir « visibilité, détection de menaces, et réponse complètes » pour leurs clients conjoints. Et il ne s’agit pas seulement d’une approche commerciale consolidée, mais, plus loin, de la « construction d’une solution intégrée ».
Au printemps, c’est Vectra Networks qui a annoncé l’intégration de Cognito, son moteur d’analyse d’événements de sécurité, avec les outils de CrowdStrike. De quoi permettre, là encore, de couvrir l’environnement de manière complète, en intégrant activités réseau et activités sur les points de terminaison.
Juniper a suivi de peu le mouvement avec l’intégration de la technologie de Cyphort, racheté en 2017, mais également en s’associant à Carbon Black.