E-handbook

Faire de son reacuteseau une cleacute de sa strateacutegie de cyberseacutecuriteacute

Page 1 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Introduction

Srsquoil a pu longtemps ecirctre tentant de ne voir le reacuteseau que sous lrsquoangle

de la production une fois installeacutes les indispensables IDSIPS et

autres pare-feu ce nrsquoest aujourdrsquohui plus possible Le reacuteseau

constitue un point drsquoobservation strateacutegique malgreacute le recours

croissant au chiffrement De lagrave il est possible de deacuteceler des

anomalies dont certaines peuvent trahir des activiteacutes malicieuses

Mais crsquoest aussi lagrave qursquoil est possible drsquoappliquer de maniegravere diffuse

des controcircles agrave activer pour circonscrire un incident Crsquoest lrsquoideacutee

mecircme du concept de deacutefense en profondeur incontournable alors

que le modegravele de la seacutecuriteacute peacuterimeacutetrique a montreacute ses limites

Page 2 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Architecture La segmentation reacuteseau srsquoimpose

Du besoin drsquoune seacutecuriteacute diffuse pour

proteacuteger les reacuteseaux modernes

John Burke Nemertes Research

La nature diffuse de la seacutecuriteacute en profondeur est neacutecessaire pour

seacutecuriser et proteacuteger les reacuteseaux modernes contre des menaces varieacutees

La seacutecuriteacute diffuse ameacuteliorer la deacutefense en profondeur en stratifiant les

controcircles de seacutecuriteacute selon le risque et les assignant agrave chaque point critique de

son infrastructure Lrsquoideacutee de deacutefense en profondeur ndash ou stratifieacutee ndash est

ancienne et incomplegravete Celle de seacutecuriteacute diffuse lrsquoeacutetend Cette notion ne

recouvre pas simplement plusieurs couches de deacutefense mais aussi leur

empilement structureacute selon le risque Elle met ensuite agrave profit cette strateacutegie

pour placer les controcircles de seacutecuriteacute autour de chaque systegraveme entrepocirct de

donneacutees et nœud de reacuteseau critique

Page 3 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

La surveillance drsquoune seacutecuriteacute diffuse

geacutenegravere des donneacutees

La Avec autant de couches de seacutecuriteacute en place on obtient des donneacutees de

supervision de la seacutecuriteacute diffuse Et en quantiteacutes consideacuterables De quoi

risquer de saturer les ressources de stockage de ses outils de gestion des

informations et des eacuteveacutenements de seacutecuriteacute (SIEM) Pour peu que cela nrsquoait pas

eacuteteacute pris en compte au preacutealable des montagnes de donneacutees de journaux

drsquoactiviteacute sont susceptibles drsquoecirctre ignoreacutees Voire des chaicircnes montagneuses

dans leur ensemble

Mais les capaciteacutes de traitement de ces outils peuvent eacutegalement souffrir Ils

doivent bien sucircr fouiller ces journaux drsquoactiviteacute pour retirer les indicateurs de

menaces Mais ils vont eacutegalement devoir aller plus loin transformant la

deacutetection drsquoeacuteveacutenements en renseignement utilisables en pratique Lagrave ces outils

traditionnels montrent leurs limites

Pour tirer pleinement profit des donneacutees geacuteneacutereacutees par ces systegravemes de

deacutefense en profondeur il faut des capaciteacutes drsquoanalyse allant de pair Et deux

srsquoavegraverent essentielles lrsquoanalyse de seacutecuriteacute avanceacutee (ASA) et lrsquoanalyse

comportementale (UBA)

Page 4 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

ASA et UBA

Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de

journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse

suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de

parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable

pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le

mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De

nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des

outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont

apparues

Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont

eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent

exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre

en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre

qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la

derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un

comportement comparable survenant un samedi soir au milieu du trimestre

Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais

srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions

machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des

environnements en pleine transformation vers des architectures orienteacutees

Page 5 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

services (SOA) ou micro-services dans de tels environnements les systegravemes

communiquent freacutequemment entre eux bien plus que dans des architectures

plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les

anomalies comportementales

En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches

drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement

automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre

la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse

orienteacutee risque

Page 6 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

SDN construire une architecture plus sucircre

Lee Doyle Doyle Research

Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure

seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN

pour preacutevenir les bregraveches

Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de

la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau

drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le

reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure

De nouveaux besoins

Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage

de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets

connecteacutes les organisations ne peuvent plus se contenter de compter sur un

peacuterimegravetre durci pour preacutevenir les attaques informatiques

Les organisations emploient en outre des services de Cloud priveacute public ou

hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la

Page 7 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils

apportent de changements rapides en besoins en ressources pour les

applications implique que le reacuteseau doit pouvoir automatiquement provisionner

les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours

plus nombreuses et agrave lrsquoimpact parfois consideacuterable

La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN

Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de

nouveaux outils qui leur donnent les moyens de comprendre quand et comment

ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le

reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer

Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave

identifier et bloquer les attaques Et cela commence par la segmentation

Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une

augmentation consideacuterable du trafic est-ouest entre machines virtuelles En

termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent

eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la

compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas

tout

Page 8 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que

les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau

A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour

identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi

compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des

attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour

proteacuteger les donneacutees en transit et au repos

Les options pour passer au SDN

Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer

la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer

une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave

profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les

applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement

compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus

Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour

Certes Networks et CohesiveFT

Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel

F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour

inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN

speacutecifiques

Page 9 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Recommandations pour les DSI

Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit

une protection insuffisante des donneacutees sensibles Le reacuteseau est une

composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave

identifier et contenir les attaques Les technologies SDN apportent des

fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations

devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les

technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en

profondeur

Page 10 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Comment NotPetya profite de multiples

mauvaises pratiques

Valeacutery Marchive journaliste LeMagIT

Le logiciel malveillant qui se propage rapidement agrave travers le monde

depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son

seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains

administrateurs

Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr

Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil

ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo

EternalBlueEternalRomance

Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour

deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de

WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR

ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou

encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service

SMB en particulier sur Internet raquo

Page 11 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Page 12 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR

recommande ainsi de laquo respecter le principe de moindre privilegravege pour les

utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de

lrsquoattaquant raquo

Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les

reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises

pratiques en matiegravere de gestion des identiteacutes et des accegraves

Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs

pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi

facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de

travail censeacute ecirctre controcircleacute raquo

Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct

constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux

VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa

comme le relegraveve Bitdefender

Page 13 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les

pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que

WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de

terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger

contre la propagation drsquoExPetr

Page 14 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Cinq faccedilons de se proteacuteger contre les

ransomwares par le reacuteseau

Kevin Beaver Principle Logic LLC

Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une

infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave

explorer

Les attaques par ransomware ne sont pas seulement plus courantes Elles

srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les

postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de

distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de

serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un

ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le

reacuteseau en profitant drsquoune vulneacuterabiliteacute connue

Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher

que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0

Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est

une menace comme les autres une vulneacuterabiliteacute existe et des acteurs

Page 15 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

malveillants veulent en profiter les techniques eacutevoluent mais le menace en

elle-mecircme doit ecirctre traiteacutee comme les autres

Reconnaicirctre son ignorance

Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil

reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau

Systegravemes applications utilisateurs informations et autres constituent un

groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc

susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun

professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses

Obtenir le support de la direction et des

utilisateurs

Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien

politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil

a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs

leur faire accepter des regravegles et leur faire comprendre les ramifications de

mauvais choix

Page 16 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Deacuteployer des technologies approprieacutees

La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture

bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de

deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs

impeacuteratifs

Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses

entreprises peinent avec cela notamment avec les correctifs de produits tiers

tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les

correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une

cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission

Une protection efficace contre les logiciels malveillants est eacutegalement requise Il

est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils

plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en

mode Cloud de gestion de listes blanches ou encore de technologies de

surveillanceblocage de trafic reacuteseau

Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent

que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les

discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre

meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par

ranccedilongiciel

Page 17 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

La segmentation reacuteseau est une part importante de la protection contre les

logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee

correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un

utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils

sont trop proches les uns des autres

Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion

pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits

complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence

par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce

qui y est exposeacute

Surveiller et reacuteagir

Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles

ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de

supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de

seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de

travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en

œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher

de se produire agrave nouveau

Page 18 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Dresser un bilan et ajuster

Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la

seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on

deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne

pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la

pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui

reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de

remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou

drsquoembauche Mais il faut reacutegler cela

Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur

les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est

impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de

lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les

entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique

est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers

internes

De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute

de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates

aussi difficile que possible

Page 19 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau

Lrsquoapprentissage automatique avanceacute

apporte son aide agrave la seacutecuriteacute reacuteseau

Amy Larsen DeCarlo Current Analysis

Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre

fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux

pour les eacutequipes IT Mais la technologie continue de faire face agrave certains

deacutefis

Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours

plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose

drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees

susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les

volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT

peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les

menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique

Page 20 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des

approfondissements

En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute

pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest

pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans

lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la

deacutemocratiser aupregraves des entreprises

Sciences appliqueacutees

De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit

lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces

dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic

reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour

analyser le comportement des utilisateurs et deacutetecter les menaces internes

pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels

malveillants

Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks

ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein

des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier

tendances et potentielles menaces Les outils les plus complets ingegraverent des

Page 21 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute

renseignements sur les menaces etc

Encore des deacutefis

Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir

preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout

drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur

le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave

virtuellement chaque reacuteseau est deacutejagrave compromis

Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des

changements dans le trafic machine produit par les systegravemes du systegraveme

drsquoinformation

Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme

important Une fois encore donc les eacutequipes vont devoir traiter des faux

positifs

Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un

progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle

proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave

condition drsquoen comprendre les limitations actuelles

Page 22 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui

touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage

automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des

ressources humaines

Page 23 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Seacutecuriteacute la mort attendue de lrsquoanalyse

comportementale

Valeacutery Marchive journaliste LeMagIT

Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une

place de choix dans de nombreux cas drsquousages de la deacutetection des

menaces agrave la gestion de lrsquoauthentification

Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur

toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale

finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le

marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse

des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave

partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic

Analytics) comme Darktrace ou Vectra Networks

Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash

User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour

passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les

200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave

appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme

Page 24 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

plateformes indeacutependantes qui deviendront par essence les plateformes SIEM

[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de

nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par

drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas

drsquousage A moins qursquoils ne soient racheteacutes

En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse

comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte

compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un

interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les

recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM

En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable

consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et

lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable

Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de

temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait

HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la

technologie de Caspida pour disposer de sa propre brique drsquoanalyse

comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu

juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom

et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour

ses offres

Page 25 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes

drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies

avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7

pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec

IdentityGRC et de Balabit avec Blindspotter

Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme

que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec

CloudLock ou encore de Symantec avec BlueCoat (et la technologie

drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale

agrave sa plateforme NetScaler et pas uniquement pour des questions de

performances et de disponibiliteacute

Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee

agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne

agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur

lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant

agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement

drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des

services Cloud

Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de

donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les

controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage

Page 26 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux

avant de deacutetecter des deacuteviations ne manquent pas

Et cela vaut aussi pour la gestion des accegraves et notamment de

lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au

passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas

manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute

relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie

comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur

originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification

et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer

lrsquoidentiteacute proclameacutee de lrsquoutilisateur

Page 27 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Identifier les signes preacutecurseurs drsquoune

intrusion reacuteseau

Kevin Beaver Principle Logic LLC

Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation

Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont

besoin drsquoune vue drsquoensemble du reacuteseau

laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne

semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants

non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves

visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier

lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou

demandent des ranccedilons

Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des

intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates

et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des

anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave

geacuterer

Page 28 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Pourquoi les intrusions reacuteseau sont

difficiles agrave repeacuterer

Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de

nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont

clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour

deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est

laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en

compte apregraves une bregraveche

Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut

ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des

requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques

en deacuteni de service des opeacuterations de reconnaissance ou une utilisation

inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal

sur son reacuteseau nrsquoest pas simple

Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des

speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente

de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut

aussi pour ces perceptions

Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou

activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque

Page 29 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont

aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent

Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip

Lire les signes avant-coureurs

Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions

reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits

eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce

qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes

A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement

familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas

de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour

garder les choses sous controcircle

Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute

traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine

mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient

inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne

noient pas les eacutequipes sous les alertes

A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de

terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de

Page 30 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle

drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de

seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se

passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal

Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et

Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en

visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune

norme drsquoactiviteacute sur le reacuteseau

Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus

petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus

largement pour savoir ce qui se passe reacuteellement sur le reacuteseau

Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation

sort pour toujours et ne revient pas

Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer

des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil

nominal de leur environnement et un eacuteventail de technologies raisonnable pour

la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques

Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques

ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes

agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau

Page 31 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

DarkTrace renforce sa solution de deacutetection

drsquoanomalies

Valeacutery Marchive journaliste LeMagIT

Page 32 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Le britannique a annonceacute la troisiegraveme version de sa plateforme de

deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de

reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail

drsquoattaques deacutecouvrables a eacuteteacute eacutetendu

DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de

sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour

meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des

flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette

observation couvrant autant que possible toutes les couches du modegravele ISO

doit permettre de reconstituer les flux de donneacutees afin de comprendre les

utilisateurs et leurs activiteacutes

Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks

reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les

attaques durant leur phase dite active celle qui recouvre les communications

avec les centres de commande et de controcircle la reconnaissance les

deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees

notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena

sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois

deacutetecter toutes les attaques

Page 33 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace

gagne en profondeur devenant capable de deacutetecter les attaques les plus

furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des

requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations

entre infrastructures disparates

Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses

algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de

seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent

La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version

permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec

des tiers internes comme externes en srsquoappuyant sur les standards Stix et

Taxii

Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la

seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et

tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux

de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo

Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun

quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune

valeur de 200 M$ en progression de 140 sur un an et plus de 3000

deacuteploiements agrave travers le monde

Page 34 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le

peacuterimegravetre couvert par sa solution aux environnements industriels de type

ICSScada

Page 35 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Alertes de seacutecuriteacute reacuteseau deacutepasser les

difficulteacutes

Kevin Beaver Principle Logic LLC

Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives

Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes

pour ameacuteliorer la seacutecuriteacute

Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks

intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de

professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux

alertes de seacutecuriteacute remonteacutees depuis le reacuteseau

Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer

ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des

sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent

consacrer une enquecircte

Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour

lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a

eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises

Page 36 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

En outre 40 des reacutepondants assurent manquer de renseignements

immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela

reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet

drsquoinvestissement

Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes

drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute

dans le courant des 12 prochains mois Ce qui appelle naturellement la

question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le

problegraveme

Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront

jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf

sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre

revoir lrsquooutillage

Degraves lors comment avancer La situation de chacun est unique mais il existe

des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un

semblant de controcircle sur la situation

La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en

lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de

lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut

recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les

alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion

Page 37 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers

lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et

protection contre les logiciels malveillants

En interne comme en externe un fournisseur de service de gestion des

informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et

surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees

ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de

prise de deacutecision

Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees

du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes

de seacutecuriteacute utiliseacutes

Compte tenu des contraintes de temps et du manque de compeacutetences de

gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees

aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux

systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo

Mais sans un suivi et un ajustement des configurations continus des pare-feu

IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas

possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme

de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue

Page 38 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce

travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se

preacuteparent agrave eacutechouer agrave long terme

Page 39 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Juniper Networks srsquooffre un speacutecialiste de

lrsquoanalyse comportementale

Valeacutery Marchive journaliste LeMagIT

Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de

protection contre les menaces avanceacutees Sky ATP pour compleacuteter son

eacuteventail de lutte contre les attaques passant au travers des premiegraveres

lignes de deacutefense

Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011

et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de

ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-

fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non

sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et

la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations

et des eacuteveacutenements de seacutecuriteacute (SIEM)

Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute

aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs

distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection

Page 40 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes

de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement

Le moteur analytique SmartCore applique lrsquoapprentissage automatique et

lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees

laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se

charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure

surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit

permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de

lrsquoattaque en cours

La plateforme Anti-SIEM peut profiter de cette connaissance produite par le

moteur analytique pour lancer automatiquement des opeacuterations correctrices

comme une mise en quarantaine drsquohocirctes compromis

Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation

Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave

Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter

lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des

ventes mondiales des technologies avanceacutees

Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de

protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement

des services de messagerie eacutelectronique Mais la contribution de Cyphort aux

offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi

Page 41 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure

Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de

lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence

Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution

permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute

en environnement hybride

Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de

disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute

du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert

Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber

peu apregraves lrsquoacquisition de Niara par HPE entre autres

Page 42 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Inteacutegration Casser les silos

Lrsquoapprentissage automatique avanceacute

apporte son aide agrave la seacutecuriteacute reacuteseau

Valeacutery Marchive journaliste LeMagIT

Associer reacuteseau et points de terminaison pour obtenir une vision

complegravete de la menace et pouvoir lutter contre elle dans chacune de ses

dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par

drsquoautres bien plus tocirct

Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike

semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le

systegraveme drsquoinformation en profondeur il faut faire travailler de concert

eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de

terminaison (ou endpoints) serveurs comme postes de travail et appareils

mobiles

Page 43 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir

conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces

et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement

drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction

drsquoune solution inteacutegreacutee raquo

Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires

apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover

Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une

telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere

concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution

Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses

dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants

Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa

Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur

une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce

au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec

Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto

Networks avec son Application Framework mais surtout Traps Et cela vaut

eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de

Check Point avec sa plateforme Infinity

En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs

affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur

Page 44 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement

ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave

plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo

Page 45 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Comment rapprocher eacutequipes seacutecuriteacute et

reacuteseau

Mike O Villegas K3DES LLC

Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave

ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas

deacuteveloppe

Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que

tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent

toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des

donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux

usages acceptables des ressources de lrsquoentreprise ou encore aux

meacutethodologies de deacuteveloppement de systegravemes

Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque

anneacutee et ecirctre accessibles agrave tous les employeacutes

Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave

lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des

activiteacutes redondantes voire conflictuelles aux effets potentiellement

Page 46 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

deacutesastreux non-respect des objectifs de qualiteacute de service modes de

protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les

beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de

reacuteseau montrent toute leur valeur

Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils

communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT

Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et

inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements

sont permis en dehors du processus globalement accepteacute un changement peut

venir en contredire un autre

Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave

peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses

objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil

serait autrement possible de preacutevenir

Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche

consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les

systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)

sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des

eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des

activiteacutes drsquoinvestigation

Page 47 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les

activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre

drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les

mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse

utilisation de bande passante et respect des engagements de niveau de

service

En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains

de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et

lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre

fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC

Degraves lors il peut y avoir des redondances entre outils Mais les processus et les

meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les

systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement

par les deux groupes

Page 48 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Palo Alto Networks se preacutepare agrave proposer la

technologie de LightCyber

Valeacutery Marchive journaliste LeMagIT

A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur

marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit

drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee

Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant

ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique

non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les

anomalies susceptibles de trahir des activiteacutes malicieuses

Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives

au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs

Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes

de machine learning pour construire des profils comportementaux de chaque

actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles

anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de

Page 49 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers

suspects

Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de

la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a

accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave

nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de

la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder

optionnellement agrave Wildfire ils pourront activer une option LightCyber ce

service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee

Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette

seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire

Palo Alto Networks a annonceacute au mois de juin un framework applicatif

permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces

de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les

applications maison ainsi accessibles

Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour

des fournisseurs de technologies drsquoanalyse comportementale concurrents tels

qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires

technologiques de Palo Alto Networks

Page 50 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Sophos integravegre la technologie de Deep

Learning drsquoInvincea

Valeacutery Marchive journaliste LeMagIT

Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects

A terme les perspectives drsquoutilisation sont consideacuterablement plus

eacutetendues

En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse

speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces

connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec

lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016

Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels

malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces

non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance

comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une

couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et

piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur

virtualiseacute

Page 51 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing

de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration

et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes

Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai

2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les

meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau

reacuteseau en passant par les diverses passerelles de filtrage de contenus entre

autres

A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de

protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme

ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne

connaissent rien de lrsquoutilisateur

A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute

sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes

eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo

Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction

Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute

dans le reacuteseau et agents de protection des hocirctes

Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de

deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere

consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea

Page 52 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects

statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques

susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun

programme expeacuterimental accessible agrave certains clients pour la seconde version

de la solution Intercept X

Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de

SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et

la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave

du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut

Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep

Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce

qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas

question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire

drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des

profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut

faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on

deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos

clients raquo

Page 53 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Acceacuteder agrave plus de contenu exclusif PRO+

Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+

une collection de publications gratuites et offres speacuteciales rassembleacutees pour

vous par nos partenaires et sur tout notre reacuteseau de sites internet

Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet

TechTarget

Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts

Images Fotolia

copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de

quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur

Page 54 of 54

Dans ce guide

Introduction

Architecture

Deacutetection

Inteacutegration

E-handbook

Le document consulteacute provient du site wwwlemagitfr

Cyrille Chausson | Reacutedacteur en Chef

TechTarget

22 rue Leacuteon Jouhaux 75010 Paris

wwwtechtargetcom

copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de

leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group

TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important

dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos

eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur

les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de

connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du

secteur