Postes de travail et réseau : la sécurité se dirige vers une approche intégrée

Postes de travail et réseau : la sécurité se dirige vers une approche intégrée
// LeMagIT

Rédacteur en chef adjoint

A l’automne dernier, Forescout, spécialiste du contrôle d’accès réseau (NAC), et Crowdstrike ont annoncé un partenariat stratégique, expliquant vouloir fournir « visibilité, détection de menaces, et réponse complètes » pour leurs clients conjoints. Il ne s’agissait pas seulement d’une approche commerciale consolidée, mais au-delà, de la « construction d’une solution intégrée »

Protection du poste de travail : les erreurs à ne plus commettre

Téléchargez ce nouveau numéro d’Information Sécurité. Il vous offre l’expertise dont vous avez besoin pour protéger les postes de travail, à l’heure où les attaques avancées se multiplient, où les ransomwares font des ravages.

En fait, les deux partenaires semblent s’être convertis à une approche qui tend à se généraliser. Pour protéger le SI en profondeur, il faut faire travailler de concert les équipements réseau et les hôtes de l’infrastructure, ces fameux points de terminaison (ou endpoints), serveurs comme postes de travail et appareils mobiles.

C’est dès le mois de mai 2014 que Sophos a commencé à articuler une telle stratégie avec son projet Galileo. Fin 2015, il lui donnait une première concrétisation avec la fonction Security Heartbeat. A l’époque, Michel Lanaspèze, directeur marketing de l’éditeur pour l’Europe de l’ouest, en expliquait l’objectif : « le but est d’aller un cran plus loin dans la manière d’adresser les menaces avancées persistantes […] l’idée consiste à faire fonctionner l’ensemble de nos mécanismes de défense comme un système : protection réseau et poste de travail, chiffrement des données, etc. »

Faire tomber les silos

Il replaçait cette réflexion dans le contexte des systèmes de protection courants. « Les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail, mais pas ce qui s’y passe. Et ils ne connaissent rien de l’utilisateur. A l’inverse, les systèmes de protection du poste de travail n’ont pas de visibilité sur le réseau, ils ne disposent donc pas forcément d’informations sur les signes émanant d’autres appareils connectés ».

Autrement dit, chaque équipement connecté au système d’information se comporte, d’une certaine manière, comme un silo, du point de vue de la sécurité plus globale de l’ensemble.

Depuis, avec sa solution (désormais baptisée Intercept X), Sophos a bien avancé. Il l’a récemment complétée avec la technologie d’Invincea, racheté en février 2017. Celle-ci est déjà proposée pour l’analyse d’éléments suspects, statique, avant exécution éventuelle, à la recherche de caractéristiques susceptibles de trahir un code malveillant, pour la seconde version d’Intercept X.

Elle intervient donc en complément de celle de SurfRight, racheté par Sophos fin 2015, qui se concentrait sur la détection et la prévention des manipulations en mémoire vive et des abus qui permettent à du code malicieux de s’exécuter.

Au-delà Sophos prévoit de mettre à profit « le savoir-faire d’Invincea en Deep Learning dans d’autres choses, dans le réseau et ailleurs ». En définitive, « le périmètre d’application est quasiment illimité ».

Une tendance de fond

Depuis l’annonce de son projet Galileo, Sophos a été rejoint par bien d’autres acteurs, au premier rang desquels Fortinet. L’équipementier a présenté, au printemps 2016, sa Security Fabric, une architecture qui s’appuie sur une série d’interfaces pour multiplier les intégrations multilatérales. A l’époque, son annonce s’est accompagnée de celle d’un premier partenariat, avec Carbon Black.

Mais Security Fabric doit s’appréhender comme une entité unique « d’un point de vue des règles et de la gestion des logs ». Ces deux premiers piliers permettent d’envisager de mettre en place des segmentations de l’infrastructure avec une granularité très élevée. Security Fabric doit aussi se nourrir de et alimenter le renseignement sur les menaces, à partir d’informations collectées en interne, mais également de flux externes.

Dans cette perspective, l’annonce, en janvier 2017, de FortiSIEM n’a rien de surprenant : cette solution vise à rapprocher équipes de supervision réseau (NOC) et équipes de supervision de la sécurité (SOC).

Palo Alto Networks s’inscrit également dans cette mouvance, avec son Application Framework, les capacités d’analyse comportementale réseau (NTA) de LightCyber, mais aussi Traps, qu’il positionne désormais en alternative à l’antivirus.

On trouve la même approche chez Kaspersky, avec KATA, pour lutter contre les menaces avancées, ou encore chez Check Point avec sa plateforme Infinity, présentée mi-mai 2017.

L’an passé toujours, WatchGuard avait avancé dans la même direction, avec son service Threat Detection and Response, qui visait à proposer une approche intégrée de la protection contre les menaces, qui couvrait à la fois le réseau et les hôtes qui y sont connectés.

—-

Read in my feedly