Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
E-handbook
Faire de son reacuteseau une cleacute de sa strateacutegie de cyberseacutecuriteacute
Page 1 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Introduction
Srsquoil a pu longtemps ecirctre tentant de ne voir le reacuteseau que sous lrsquoangle
de la production une fois installeacutes les indispensables IDSIPS et
autres pare-feu ce nrsquoest aujourdrsquohui plus possible Le reacuteseau
constitue un point drsquoobservation strateacutegique malgreacute le recours
croissant au chiffrement De lagrave il est possible de deacuteceler des
anomalies dont certaines peuvent trahir des activiteacutes malicieuses
Mais crsquoest aussi lagrave qursquoil est possible drsquoappliquer de maniegravere diffuse
des controcircles agrave activer pour circonscrire un incident Crsquoest lrsquoideacutee
mecircme du concept de deacutefense en profondeur incontournable alors
que le modegravele de la seacutecuriteacute peacuterimeacutetrique a montreacute ses limites
Page 2 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Architecture La segmentation reacuteseau srsquoimpose
Du besoin drsquoune seacutecuriteacute diffuse pour
proteacuteger les reacuteseaux modernes
John Burke Nemertes Research
La nature diffuse de la seacutecuriteacute en profondeur est neacutecessaire pour
seacutecuriser et proteacuteger les reacuteseaux modernes contre des menaces varieacutees
La seacutecuriteacute diffuse ameacuteliorer la deacutefense en profondeur en stratifiant les
controcircles de seacutecuriteacute selon le risque et les assignant agrave chaque point critique de
son infrastructure Lrsquoideacutee de deacutefense en profondeur ndash ou stratifieacutee ndash est
ancienne et incomplegravete Celle de seacutecuriteacute diffuse lrsquoeacutetend Cette notion ne
recouvre pas simplement plusieurs couches de deacutefense mais aussi leur
empilement structureacute selon le risque Elle met ensuite agrave profit cette strateacutegie
pour placer les controcircles de seacutecuriteacute autour de chaque systegraveme entrepocirct de
donneacutees et nœud de reacuteseau critique
Page 3 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La surveillance drsquoune seacutecuriteacute diffuse
geacutenegravere des donneacutees
La Avec autant de couches de seacutecuriteacute en place on obtient des donneacutees de
supervision de la seacutecuriteacute diffuse Et en quantiteacutes consideacuterables De quoi
risquer de saturer les ressources de stockage de ses outils de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) Pour peu que cela nrsquoait pas
eacuteteacute pris en compte au preacutealable des montagnes de donneacutees de journaux
drsquoactiviteacute sont susceptibles drsquoecirctre ignoreacutees Voire des chaicircnes montagneuses
dans leur ensemble
Mais les capaciteacutes de traitement de ces outils peuvent eacutegalement souffrir Ils
doivent bien sucircr fouiller ces journaux drsquoactiviteacute pour retirer les indicateurs de
menaces Mais ils vont eacutegalement devoir aller plus loin transformant la
deacutetection drsquoeacuteveacutenements en renseignement utilisables en pratique Lagrave ces outils
traditionnels montrent leurs limites
Pour tirer pleinement profit des donneacutees geacuteneacutereacutees par ces systegravemes de
deacutefense en profondeur il faut des capaciteacutes drsquoanalyse allant de pair Et deux
srsquoavegraverent essentielles lrsquoanalyse de seacutecuriteacute avanceacutee (ASA) et lrsquoanalyse
comportementale (UBA)
Page 4 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
ASA et UBA
Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de
journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse
suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de
parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable
pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le
mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De
nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des
outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont
apparues
Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont
eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent
exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre
en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre
qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la
derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un
comportement comparable survenant un samedi soir au milieu du trimestre
Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais
srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions
machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des
environnements en pleine transformation vers des architectures orienteacutees
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 1 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Introduction
Srsquoil a pu longtemps ecirctre tentant de ne voir le reacuteseau que sous lrsquoangle
de la production une fois installeacutes les indispensables IDSIPS et
autres pare-feu ce nrsquoest aujourdrsquohui plus possible Le reacuteseau
constitue un point drsquoobservation strateacutegique malgreacute le recours
croissant au chiffrement De lagrave il est possible de deacuteceler des
anomalies dont certaines peuvent trahir des activiteacutes malicieuses
Mais crsquoest aussi lagrave qursquoil est possible drsquoappliquer de maniegravere diffuse
des controcircles agrave activer pour circonscrire un incident Crsquoest lrsquoideacutee
mecircme du concept de deacutefense en profondeur incontournable alors
que le modegravele de la seacutecuriteacute peacuterimeacutetrique a montreacute ses limites
Page 2 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Architecture La segmentation reacuteseau srsquoimpose
Du besoin drsquoune seacutecuriteacute diffuse pour
proteacuteger les reacuteseaux modernes
John Burke Nemertes Research
La nature diffuse de la seacutecuriteacute en profondeur est neacutecessaire pour
seacutecuriser et proteacuteger les reacuteseaux modernes contre des menaces varieacutees
La seacutecuriteacute diffuse ameacuteliorer la deacutefense en profondeur en stratifiant les
controcircles de seacutecuriteacute selon le risque et les assignant agrave chaque point critique de
son infrastructure Lrsquoideacutee de deacutefense en profondeur ndash ou stratifieacutee ndash est
ancienne et incomplegravete Celle de seacutecuriteacute diffuse lrsquoeacutetend Cette notion ne
recouvre pas simplement plusieurs couches de deacutefense mais aussi leur
empilement structureacute selon le risque Elle met ensuite agrave profit cette strateacutegie
pour placer les controcircles de seacutecuriteacute autour de chaque systegraveme entrepocirct de
donneacutees et nœud de reacuteseau critique
Page 3 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La surveillance drsquoune seacutecuriteacute diffuse
geacutenegravere des donneacutees
La Avec autant de couches de seacutecuriteacute en place on obtient des donneacutees de
supervision de la seacutecuriteacute diffuse Et en quantiteacutes consideacuterables De quoi
risquer de saturer les ressources de stockage de ses outils de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) Pour peu que cela nrsquoait pas
eacuteteacute pris en compte au preacutealable des montagnes de donneacutees de journaux
drsquoactiviteacute sont susceptibles drsquoecirctre ignoreacutees Voire des chaicircnes montagneuses
dans leur ensemble
Mais les capaciteacutes de traitement de ces outils peuvent eacutegalement souffrir Ils
doivent bien sucircr fouiller ces journaux drsquoactiviteacute pour retirer les indicateurs de
menaces Mais ils vont eacutegalement devoir aller plus loin transformant la
deacutetection drsquoeacuteveacutenements en renseignement utilisables en pratique Lagrave ces outils
traditionnels montrent leurs limites
Pour tirer pleinement profit des donneacutees geacuteneacutereacutees par ces systegravemes de
deacutefense en profondeur il faut des capaciteacutes drsquoanalyse allant de pair Et deux
srsquoavegraverent essentielles lrsquoanalyse de seacutecuriteacute avanceacutee (ASA) et lrsquoanalyse
comportementale (UBA)
Page 4 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
ASA et UBA
Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de
journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse
suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de
parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable
pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le
mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De
nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des
outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont
apparues
Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont
eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent
exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre
en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre
qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la
derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un
comportement comparable survenant un samedi soir au milieu du trimestre
Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais
srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions
machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des
environnements en pleine transformation vers des architectures orienteacutees
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 2 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Architecture La segmentation reacuteseau srsquoimpose
Du besoin drsquoune seacutecuriteacute diffuse pour
proteacuteger les reacuteseaux modernes
John Burke Nemertes Research
La nature diffuse de la seacutecuriteacute en profondeur est neacutecessaire pour
seacutecuriser et proteacuteger les reacuteseaux modernes contre des menaces varieacutees
La seacutecuriteacute diffuse ameacuteliorer la deacutefense en profondeur en stratifiant les
controcircles de seacutecuriteacute selon le risque et les assignant agrave chaque point critique de
son infrastructure Lrsquoideacutee de deacutefense en profondeur ndash ou stratifieacutee ndash est
ancienne et incomplegravete Celle de seacutecuriteacute diffuse lrsquoeacutetend Cette notion ne
recouvre pas simplement plusieurs couches de deacutefense mais aussi leur
empilement structureacute selon le risque Elle met ensuite agrave profit cette strateacutegie
pour placer les controcircles de seacutecuriteacute autour de chaque systegraveme entrepocirct de
donneacutees et nœud de reacuteseau critique
Page 3 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La surveillance drsquoune seacutecuriteacute diffuse
geacutenegravere des donneacutees
La Avec autant de couches de seacutecuriteacute en place on obtient des donneacutees de
supervision de la seacutecuriteacute diffuse Et en quantiteacutes consideacuterables De quoi
risquer de saturer les ressources de stockage de ses outils de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) Pour peu que cela nrsquoait pas
eacuteteacute pris en compte au preacutealable des montagnes de donneacutees de journaux
drsquoactiviteacute sont susceptibles drsquoecirctre ignoreacutees Voire des chaicircnes montagneuses
dans leur ensemble
Mais les capaciteacutes de traitement de ces outils peuvent eacutegalement souffrir Ils
doivent bien sucircr fouiller ces journaux drsquoactiviteacute pour retirer les indicateurs de
menaces Mais ils vont eacutegalement devoir aller plus loin transformant la
deacutetection drsquoeacuteveacutenements en renseignement utilisables en pratique Lagrave ces outils
traditionnels montrent leurs limites
Pour tirer pleinement profit des donneacutees geacuteneacutereacutees par ces systegravemes de
deacutefense en profondeur il faut des capaciteacutes drsquoanalyse allant de pair Et deux
srsquoavegraverent essentielles lrsquoanalyse de seacutecuriteacute avanceacutee (ASA) et lrsquoanalyse
comportementale (UBA)
Page 4 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
ASA et UBA
Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de
journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse
suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de
parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable
pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le
mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De
nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des
outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont
apparues
Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont
eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent
exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre
en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre
qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la
derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un
comportement comparable survenant un samedi soir au milieu du trimestre
Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais
srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions
machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des
environnements en pleine transformation vers des architectures orienteacutees
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 3 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La surveillance drsquoune seacutecuriteacute diffuse
geacutenegravere des donneacutees
La Avec autant de couches de seacutecuriteacute en place on obtient des donneacutees de
supervision de la seacutecuriteacute diffuse Et en quantiteacutes consideacuterables De quoi
risquer de saturer les ressources de stockage de ses outils de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) Pour peu que cela nrsquoait pas
eacuteteacute pris en compte au preacutealable des montagnes de donneacutees de journaux
drsquoactiviteacute sont susceptibles drsquoecirctre ignoreacutees Voire des chaicircnes montagneuses
dans leur ensemble
Mais les capaciteacutes de traitement de ces outils peuvent eacutegalement souffrir Ils
doivent bien sucircr fouiller ces journaux drsquoactiviteacute pour retirer les indicateurs de
menaces Mais ils vont eacutegalement devoir aller plus loin transformant la
deacutetection drsquoeacuteveacutenements en renseignement utilisables en pratique Lagrave ces outils
traditionnels montrent leurs limites
Pour tirer pleinement profit des donneacutees geacuteneacutereacutees par ces systegravemes de
deacutefense en profondeur il faut des capaciteacutes drsquoanalyse allant de pair Et deux
srsquoavegraverent essentielles lrsquoanalyse de seacutecuriteacute avanceacutee (ASA) et lrsquoanalyse
comportementale (UBA)
Page 4 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
ASA et UBA
Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de
journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse
suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de
parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable
pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le
mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De
nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des
outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont
apparues
Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont
eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent
exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre
en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre
qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la
derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un
comportement comparable survenant un samedi soir au milieu du trimestre
Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais
srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions
machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des
environnements en pleine transformation vers des architectures orienteacutees
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 4 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
ASA et UBA
Les systegravemes ASA srsquoappuient geacuteneacuteralement sur les outils de gestion de
journaux drsquoactiviteacute et SIEM existants pour fournir une couche drsquoanalyse
suppleacutementaire au-dessus des alertes qursquoils geacutenegraverent Leur objet est de
parcourir ces flux de donneacutees pour fournir agrave lrsquoIT une connaissance exploitable
pour bloquer drsquoeacuteventuelles attaques ASA consiste essentiellement en le
mariage de lrsquoanalytique Big Data et de jeux de donneacutees de seacutecuriteacute De
nombreuses grandes organisations ont commenceacute agrave faire cela en utilisant des
outils deacuteveloppeacutes en interne mais de nombreuses offres commerciales sont
apparues
Les systegravemes drsquoUBA sont un sous-ensemble des outils ASA ndash comme le sont
eacutegalement les outils drsquoanalyse du trafic reacuteseau (NTA) Ils se concentrent
exclusivement sur les scheacutemas comportementaux des utilisateurs pour mettre
en eacutevidence ce qui peut sembler suspect Ils peuvent par exemple comprendre
qursquoun comptable accegravede furieusement agrave des donneacutees clients agrave minuit durant la
derniegravere semaine de lrsquoexercice fiscal mais consideacuterer suspect un
comportement comparable survenant un samedi soir au milieu du trimestre
Dans ce contexte la notion drsquoutilisateur ne se limite pas aux humains mais
srsquoeacutetend aussi aux systegravemes jouant un rocircle dans les interactions
machinemachine Cet aspect srsquoavegravere particuliegraverement important dans des
environnements en pleine transformation vers des architectures orienteacutees
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 5 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
services (SOA) ou micro-services dans de tels environnements les systegravemes
communiquent freacutequemment entre eux bien plus que dans des architectures
plus patrimoniales Et pour un humain il peut ecirctre difficile drsquoidentifier lagrave les
anomalies comportementales
En renforccedilant la trousse agrave outils de surveillance pour utiliser des couches
drsquoanalyse et ajouter de nouveaux niveaux de renseignement au traitement
automatiseacute des donneacutees de seacutecuriteacute lrsquoIT peut revenir dans la course reprendre
la main sur les flots de donneacutees geacuteneacutereacutes par lrsquoadoption drsquoune protection diffuse
orienteacutee risque
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 6 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
SDN construire une architecture plus sucircre
Lee Doyle Doyle Research
Les reacuteseaux agrave deacutefinition logicielle pourraient ecirctre la cleacute drsquoune meilleure
seacutecuriteacute Lrsquoexpert reacuteseau Lee Doyle explique comment durcir son SDN
pour preacutevenir les bregraveches
Seacutecuriser les donneacutees critiques et contenir les attaques est le principal deacutefi de
la plupart des DSI Les avanceacutees des technologies SDN permettent au reacuteseau
drsquoidentifier les motifs de trafic qui signalent une attaque et de segmenter le
reacuteseau pour limiter les deacuteplacements des attaquants dans lrsquoinfrastructure
De nouveaux besoins
Les eacutevolutions rapides des technologies de lrsquoinformation ont modifieacute le paysage
de la seacutecuriteacute reacuteseau Avec lrsquoarriveacutee de la mobiliteacute du BYOD et des objets
connecteacutes les organisations ne peuvent plus se contenter de compter sur un
peacuterimegravetre durci pour preacutevenir les attaques informatiques
Les organisations emploient en outre des services de Cloud priveacute public ou
hybride qui ne sont pas sans poser de questions de seacutecuriteacute autour de la
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 7 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
migration des donneacutees Et la populariteacute croissante des DevOps avec ce qursquoils
apportent de changements rapides en besoins en ressources pour les
applications implique que le reacuteseau doit pouvoir automatiquement provisionner
les regravegles de seacutecuriteacute Et crsquoest compter bien sucircr avec des attaques toujours
plus nombreuses et agrave lrsquoimpact parfois consideacuterable
La seacutecuriteacute reacuteseau agrave lrsquoheure des SDN
Dans ce contexte les professionnels de lrsquoIT et de la seacutecuriteacute cherchent de
nouveaux outils qui leur donnent les moyens de comprendre quand et comment
ils sont attaqueacutes ainsi que rapidement contenir drsquoeacuteventuelles bregraveches Le
reacuteseau par ougrave transite tout le trafic a lagrave un rocircle crucial agrave jouer
Les reacuteseaux agrave deacutefinition logicielle (SDN) ameacuteliorent la capaciteacute du reacuteseau agrave
identifier et bloquer les attaques Et cela commence par la segmentation
Lrsquoadoption geacuteneacuteraliseacutee de la virtualisation de serveurs a conduit agrave une
augmentation consideacuterable du trafic est-ouest entre machines virtuelles En
termes de seacutecuriteacute cela peut augmenter le risque car les attaques peuvent
eacutevoluer plus aiseacutement au sein de lrsquoinfrastructure La segmentation permet de la
compartimenter pour mieux proteacuteger les donneacutees sensibles Mais ce nrsquoest pas
tout
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 8 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Les reacuteseaux programmables permettent drsquooffrir une personnalisation afin que
les utilisateurs puissent travailler efficacement avec les actifs de seacutecuriteacute reacuteseau
A cela srsquoajoute la possibiliteacute de surveiller agrave moindre coucirct le trafic reacuteseau pour
identifier les anomalies susceptibles de trahir une attaque reacuteseau Il faut aussi
compter avec la possibiliteacute de modifier rapidement le reacuteseau lorsque des
attaques sont identifieacutees Sans oublier le recours massif au chiffrement pour
proteacuteger les donneacutees en transit et au repos
Les options pour passer au SDN
Les DSI peuvent choisir parmi un vaste eacuteventail drsquooutils de SDN pour ameacuteliorer
la seacutecuriteacute reacuteseau VMware propose NSX pour virtualiser le reacuteseau et deacuteployer
une strateacutegie de micro-segmentation au sein du centre de calcul Cisco met agrave
profit des capaciteacutes de SDN dans son infrastructure centreacutee sur les
applications ACI avec ses produits de seacutecuriteacute reacuteseau Et il faut eacutegalement
compter avec les solutions proposeacutees par HPE Big Switch Networks Pluribus
Networks Plexxi NetScout Systems (VSS) Gigamin Spirent Ixa vArmour
Certes Networks et CohesiveFT
Qui plus est un grand nombre de speacutecialistes de la seacutecuriteacute reacuteseau ndash dont Intel
F5 Palo Alto et Check Point travaillent avec des fournisseurs SDN pour
inteacutegrer leurs appliances et logiciels de seacutecuriteacute avec des capaciteacutes SDN
speacutecifiques
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 9 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Recommandations pour les DSI
Avec lrsquousage croissant du BYOD et des objets connecteacutes le peacuterimegravetre fournit
une protection insuffisante des donneacutees sensibles Le reacuteseau est une
composante critique des pratiques de seacutecuriteacute en cela qursquoil peut aider agrave
identifier et contenir les attaques Les technologies SDN apportent des
fonctionnaliteacutes pouvant ameacuteliorer la seacutecuriteacute reacuteseau Les organisations
devraient adopter une architecture de seacutecuriteacute en couches en inteacutegrant les
technologies de seacutecuriteacute des SDN afin de disposer drsquoune deacutefense en
profondeur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 10 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment NotPetya profite de multiples
mauvaises pratiques
Valeacutery Marchive journaliste LeMagIT
Le logiciel malveillant qui se propage rapidement agrave travers le monde
depuis ce mardi 27 juin utilise lrsquoexploit EternalBlue Crsquoest loin drsquoecirctre son
seul atout Et il peut aussi compter sur lrsquoaide bien involontaire de certains
administrateurs
Depuis le deacutebut de sa propagation celui que lrsquoon appelle NotPetya ExPetr
Nyetya ou encore GoldenEye est largement renvoyeacute agrave WannaCry parce qursquoil
ressemble agrave ransomware et qursquoil met eacutegalement agrave profit le duo
EternalBlueEternalRomance
Alors sans surprise de nombreuses voix se sont rapidement eacuteleveacutees pour
deacutenoncer des responsables informatiques qui nrsquoauraient pas tireacute les leccedilons de
WannaCry et en particulier appliqueacute les correctifs qui srsquoimposent Le Cert-FR
ne manque drsquoailleurs pas de recommander leur deacuteploiement laquo immeacutediat raquo ou
encore de deacutesactiver le protocole SMBv1 et de laquo limiter lrsquoexposition du service
SMB en particulier sur Internet raquo
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 11 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 12 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Mais limiter ExPetr agrave cela serait fortement reacuteducteur trop mecircme Le Cert-FR
recommande ainsi de laquo respecter le principe de moindre privilegravege pour les
utilisateurs afin de limiter lrsquoeacuteleacutevation de privilegraveges et la propagation lateacuterale de
lrsquoattaquant raquo
Et crsquoest lrsquoun des points cleacutes de la propagation du logiciel malveillant sur les
reacuteseaux de ses victimes Pour certains ExPtr tire avant tout profit de mauvaises
pratiques en matiegravere de gestion des identiteacutes et des accegraves
Jeacuterocircme Saiz expert du Cercle des Assises de la Seacutecuriteacute ne manque drsquoailleurs
pas de srsquointerroger laquo comment un code malveillant peut-il obtenir aussi
facilement les droits neacutecessaires agrave [son deacuteplacement lateacuteral] sur un poste de
travail censeacute ecirctre controcircleacute raquo
Et crsquoest sans compter avec la porositeacute des reacuteseaux dont la topologie apparaicirct
constituer un eacuteleacutement cleacute de la propagation de NotPetya laquo agrave travers les reacuteseaux
VPN des siegraveges dentreprises aux autres succursales et filiales raquo et vice-versa
comme le relegraveve Bitdefender
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 13 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoOtan Sorin Ducaru rappelait justement ce mercredi 28 juin que les
pratiques drsquohygiegravene de base cyber auraient stoppeacute nombre drsquoincidents tels que
WannaCry Kevin Beaumont souligne aussi qursquoun pare-feu de point de
terminaison bloquant les flux entrant SMB et WMI pourrait aider agrave se proteacuteger
contre la propagation drsquoExPetr
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 14 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Cinq faccedilons de se proteacuteger contre les
ransomwares par le reacuteseau
Kevin Beaver Principle Logic LLC
Une seacutecuriteacute reacuteseau renforceacutee pourrait aider fortement agrave preacutevenir une
infection par ranccedilongiciel Lrsquoexpert Kevin Beaver propose cinq pistes agrave
explorer
Les attaques par ransomware ne sont pas seulement plus courantes Elles
srsquoavegraverent eacutegalement plus creacuteatives Et ce sont encore majoritairement les
postes de travail qui sont viseacutes aucun systegraveme nrsquoest agrave lrsquoabri qursquoil srsquoagisse de
distributeurs automatiques comme WannaCry lrsquoa montreacute au printemps ou de
serveurs JBoss entre autres NotPetya qui srsquoest aveacutereacute ne pas ecirctre un
ranccedilonigiciel mecircme srsquoil en avait initialement lrsquoair se propageait quant agrave lui sur le
reacuteseau en profitant drsquoune vulneacuterabiliteacute connue
Que faire donc pour se proteacuteger de lrsquoinfection initiale Comment empecirccher
que le ransomware une fois entreacute ne se propage au-delagrave de son patient 0
Pour lrsquoessentiel cela relegraveve du bon sens La menace des ranccedilongicielles est
une menace comme les autres une vulneacuterabiliteacute existe et des acteurs
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 15 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
malveillants veulent en profiter les techniques eacutevoluent mais le menace en
elle-mecircme doit ecirctre traiteacutee comme les autres
Reconnaicirctre son ignorance
Lrsquoessor Le professionnel de la seacutecuriteacute mature et sage se distingue en ce qursquoil
reconnaicirct qursquoil se passe beaucoup de choses inconnues sur le reacuteseau
Systegravemes applications utilisateurs informations et autres constituent un
groupe drsquoactif trop souvent neacutegligeacutes seacutecuriseacutes de maniegravere insuffisante et donc
susceptibles drsquoecirctre affecteacutes par des ransomwares Lrsquoautre indication cleacute drsquoun
professionnel de qualiteacute est lrsquoexistence drsquoun plan pour ameacuteliorer les choses
Obtenir le support de la direction et des
utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en seacutecuriteacute il faut le soutien
politique et financier de la direction Et ce soutien doit ecirctre continu Une fois qursquoil
a eacuteteacute obtenu lrsquoeacutequipe de seacutecuriteacute informatique va devoir seacuteduire les utilisateurs
leur faire accepter des regravegles et leur faire comprendre les ramifications de
mauvais choix
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 16 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacuteployer des technologies approprieacutees
La cleacute drsquoune deacutefense robuste contre les logiciels malveillants est un architecture
bien conccedilue et mise en œuvre Pour qursquoun reacuteseau puisse avoir une chance de
deacutetecter et bloquer un logiciel malveillant moderne il doit reacutepondre agrave plusieurs
impeacuteratifs
Tout drsquoabord la gestion des correctifs doit ecirctre maicirctriseacutee De nombreuses
entreprises peinent avec cela notamment avec les correctifs de produits tiers
tels que Java et ceux drsquoAdobe Et crsquoest un reacutegal pour les pirates Tant que les
correctifs ne sont pas deacuteployeacutes avec reacutegulariteacute et rapiditeacute lrsquoentreprise reste une
cible facile Et le reacuteseau nrsquoest qursquoagrave un clic de la compromission
Une protection efficace contre les logiciels malveillants est eacutegalement requise Il
est temps de srsquoeacuteloigner des outils traditionnels et de regarder du cocircteacute drsquooutils
plus avanceacutes inteacutegrant des capaciteacutes de deacutetection sans signature drsquoanalyse en
mode Cloud de gestion de listes blanches ou encore de technologies de
surveillanceblocage de trafic reacuteseau
Les sauvegardes sont essentielles Les systegravemes drsquoune organisation ne valent
que par leurs sauvegardes Et cela vaut encore plus pour les serveurs Les
discussions autour de la sauvegarde sont ennuyeuses Mais elles doivent ecirctre
meneacutees avec application pour minimiser lrsquoimpact drsquoune eacuteventuelle infection par
ranccedilongiciel
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 17 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
La segmentation reacuteseau est une part importante de la protection contre les
logiciels malveillants Mais elle nrsquoest heacutelas que rarement deacuteployeacutee
correctement Et il faut garder agrave lrsquoesprit que les VLAN ne sont pas sucircrs si un
utilisateur interne peut deviner les plans drsquoadressage par exemple lorsqursquoils
sont trop proches les uns des autres
Enfin il y a les audits de seacutecuriteacute Arrecirctez de faire appel agrave des tests drsquointrusion
pour assurer une conformiteacute reacuteglementaire et commencez agrave faire des audits
complets qui srsquointeacuteresse agrave la situation dans son ensemble Et cela commence
par observer son infrastructure de lrsquoexteacuterieur depuis Internet pour regarder ce
qui y est exposeacute
Surveiller et reacuteagir
Les eacutequipes de seacutecuriteacute ne peuvent pas reacutepondre agrave ou maicirctriser ce qursquoelles
ignorent La plupart des entreprises nrsquoont que des capaciteacutes tregraves limiteacutees de
supervision de gestion drsquoalertes et de reacuteponse agrave incident Mais les eacutequipes de
seacutecuriteacute doivent faire ce qui doit ecirctre fait superviseur serveurs postes de
travail et reacuteseaux agrave la recherche drsquoanomalies reacuteagir rapidement et mettre en
œuvre ce qui est neacutecessaire face agrave lrsquoeacuteveacutenement en cours et pour lrsquoempecirccher
de se produire agrave nouveau
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 18 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dresser un bilan et ajuster
Beaucoup ndash notamment dans les directions mais aussi dans lrsquoIT voire dans la
seacutecuriteacute ndash pensent que la seacutecuriteacute est une chose ponctuelle on investit on
deacuteploie on veacuterifie et tout le reste va se faire tout seul Mais cela ne fonctionne
pas comme ccedila Les eacutequipes IT et de seacutecuriteacute sont en permanence sous la
pression du temps parce qursquoil y a constamment des projets empileacutes sur ce qui
reste encore agrave faire des preacuteceacutedents Mais il faut trouver une maniegravere de
remeacutedier agrave cela Cela peut ecirctre une question de gestion du temps ou
drsquoembauche Mais il faut reacutegler cela
Les solutions contre agrave une infection par ranccedilongiciel ne sont pas centreacutees sur
les systegravemes hocirctes ni sur le reacuteseau elles sont holistiques Un peu de tout est
impliqueacute Et cela renvoie ainsi agrave la mecircme approche de la seacutecuriteacute de
lrsquoinformation connue et eacuteprouveacutee depuis des deacutecennies Et avec laquelle les
entreprises continuent pourtant drsquoecirctre agrave la peine La compreacutehension technique
est lagrave mais la seacutecuriteacute est peacutenaliseacutee par les politiques et inteacuterecircts particuliers
internes
De fait il nrsquoest parfois pas aiseacute de deacutepasser les aspects humains de la seacutecuriteacute
de lrsquoinformation Mais au moins peut-on essayer de rendre la tacircche des pirates
aussi difficile que possible
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 19 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Deacutetection Lrsquoanalyse comportementale nouvel allieacute de la seacutecuriteacute reacuteseau
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Amy Larsen DeCarlo Current Analysis
Lrsquoapprentissage machine avanceacute peut aider agrave faire la diffeacuterence entre
fausses alertes et veacuteritables menaces reacuteseau libeacuterant un temps preacutecieux
pour les eacutequipes IT Mais la technologie continue de faire face agrave certains
deacutefis
Deacutefendre le reacuteseau dans un environnement marqueacute par des menaces toujours
plus virulentes et sophistiqueacutees peut constituer deacutefi consideacuterable LrsquoIT dispose
drsquoun vaste drsquooutils pour cela dont ceux chargeacutes de la capture de donneacutees
susceptibles de permettre de deacutebusquer drsquoeacuteventuelles menaces Mais les
volumes de donneacutees consideacutereacutes sont tellement importants que les eacutequipes IT
peuvent aiseacutement se trouver deacutebordeacutees dans lrsquoimpossibiliteacute de discerner les
menaces des anomalies sans danger Crsquoest lagrave que lrsquoapprentissage automatique
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 20 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peut aider notamment en reacuteduisant le nombre de faux positifs deacuteclenchant des
approfondissements
En seacutecuriteacute reacuteseau lrsquoapprentissage machine ou Machine Learning est utiliseacute
pour modeacuteliser le trafic reacuteseau et identifier des anomalies La discipline nrsquoest
pas nouvelle mais seuls les progregraves reacutecents en puissance de calcul et dans
lrsquooptimisation des algorithmes ont permis de la rendre accessible et de la
deacutemocratiser aupregraves des entreprises
Sciences appliqueacutees
De nombreux fournisseurs de solutions de seacutecuriteacute mettent agrave profit
lrsquoapprentissage machine avanceacute pour acceacuteleacuterer lrsquoidentification des menaces
dans un vaste eacuteventail de cas drsquousage au-delagrave de la modeacutelisation du trafic
reacuteseau et de la deacutetection drsquoanomalies La technologie peut ecirctre utiliseacutee pour
analyser le comportement des utilisateurs et deacutetecter les menaces internes
pour le filtrage anti-spam ou encore lrsquoidentification et la deacutetection de logiciels
malveillants
Pour le trafic reacuteseau ndash comme le font par exemple Darktrace et Vectra Networks
ndash lrsquoapprentissage machine peut ecirctre utiliseacute pour reconnaicirctre des motifs au sein
des flux reacuteseau fouiller au sein de donneacutees drsquohistorique pour identifier
tendances et potentielles menaces Les outils les plus complets ingegraverent des
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 21 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
donneacutees agrave partir de sources multiples flux reacuteseau journaux drsquoactiviteacute
renseignements sur les menaces etc
Encore des deacutefis
Mais lrsquoapprentissage automatique neacutecessite des ajustements avant de pouvoir
preacuteciseacutement deacutetecter les problegravemes de seacutecuriteacute reacuteseau les plus urgents Tout
drsquoabord il doit eacutetablir un modegravele de reacutefeacuterence de ce qui constitue la norme sur
le reacuteseau Ce qui est proche de lrsquoimpossible dans des environnements ougrave
virtuellement chaque reacuteseau est deacutejagrave compromis
Puis vient le deacutefi continu de comportements utilisateurs qui eacutevoluent et des
changements dans le trafic machine produit par les systegravemes du systegraveme
drsquoinformation
Ces changements peuvent geacuteneacuterer des alertes alors qursquoil nrsquoy a pas de problegraveme
important Une fois encore donc les eacutequipes vont devoir traiter des faux
positifs
Ce qui ne signifie pas que lrsquoapprentissage automatique ne constitue pas un
progregraves et nrsquoapporte pas des beacuteneacutefices il aide clairement agrave trouver lrsquoeacutepingle
proverbiale dans la botte de foin Crsquoest une option qui meacuterite drsquoecirctre eacutetudieacutee agrave
condition drsquoen comprendre les limitations actuelles
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 22 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Ce qursquoil est essentiel de garder agrave lrsquoesprit est que comme pour tout ce qui
touche agrave la seacutecuriteacute il nrsquoy a pas de remegravede miracle Degraves lors lrsquoapprentissage
automatique doit srsquoutiliser conjointement agrave de nombreux outils et agrave des
ressources humaines
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 23 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Seacutecuriteacute la mort attendue de lrsquoanalyse
comportementale
Valeacutery Marchive journaliste LeMagIT
Une mort attenduehellip en tant que marcheacute isoleacute Car elle srsquoest offerte une
place de choix dans de nombreux cas drsquousages de la deacutetection des
menaces agrave la gestion de lrsquoauthentification
Il y a deux ans lrsquoanalyse comportementale appliqueacutee agrave la seacutecuriteacute eacutetait sur
toutes les legravevres Un nouvel eldorado avec ses porte-eacutetendards dont Fortscale
finaliste de lrsquoInnovation Sandbox de lrsquoeacutedition 2015 de RSA Conference Le
marcheacute eacutetait encombreacute par une multitude drsquoacteurs misant tantocirct sur lrsquoanalyse
des journaux drsquoactiviteacute sur celle des points de terminaison de lrsquoinfrastructure agrave
partir drsquoagents reacutesidents ou encore sur le trafic reacuteseau (NTA Network Trafic
Analytics) comme Darktrace ou Vectra Networks
Deacutebut janvier Avivah Litan chez Gartner estimait que le marcheacute de lrsquoUEBA ndash
User and Endpoint Behavior Analytics ndash avait doubleacute entre 2015 et 2016 pour
passer agrave 100 M$ et qursquoil devrait encore doubler cette anneacutee pour attendre les
200 M$ laquo Mais apregraves raquo interrogeait-elle Crsquoest bien simple le marcheacute est agrave
appeler agrave disparaicirctre laquo certains eacutediteurs drsquoUEBA vont survivre comme
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 24 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
plateformes indeacutependantes qui deviendront par essence les plateformes SIEM
[systegraveme de gestion des informations et des eacuteveacutenements de seacutecuriteacute] de
nouvelle geacuteneacuteration raquo Les autres sont appeleacutes agrave se retrouver avaleacutes par
drsquoautres marcheacutes de la seacutecuriteacute enfermeacutes dans les niches de certains cas
drsquousage A moins qursquoils ne soient racheteacutes
En janvier dernier Anton Chuvakin deacuteclinait cinq cas drsquousage pour lrsquoanalyse
comportementale laquo deacutetection de compte compromis deacutetection drsquohocircte
compromis deacutetection drsquoexfiltration de donneacutees abus de droits drsquoaccegraves par un
interne et gain drsquoune connaissance eacutetendue sur lrsquoenvironnement raquo Et les
recouvrements ne manquent en effet pas avec les cas drsquousage des SIEM
En fait Avivah Litan entrevoyait deacutejagrave en mai 2016 une ineacuteluctable
consolidation et inteacutegration des solutions isoleacutees drsquoanalyse comportementale Et
lrsquohistoire lui donne raison Cisco vient drsquoannoncer le rachat drsquoObservable
Networks Mais avant cela Palo Alto Networks srsquoest offert LightCyber peu de
temps apregraves le rachat de Niara par HPE Il y a un an WatchGuard srsquooffrait
HawkEye G de Hexis Cyber Solutions Avant cela Splunk avait racheteacute la
technologie de Caspida pour disposer de sa propre brique drsquoanalyse
comportementale RSA NetWitness en est doteacute eacutegalement et IBM avait attendu
juillet 2016 pour lancer la sienne dans lrsquoeacutecosystegraveme QRadar Et entre Adallom
et Aorato Microsoft ne srsquoest pas non plus priveacute drsquoacqueacuterir de telles briques pour
ses offres
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 25 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
A lrsquoinstar de cet eacutediteur de nombreux autres integravegrent des fonctionnaliteacutes
drsquoanalyse comportementale agrave leurs produits Il en va ainsi de CA Technologies
avec Threat Analytics for PAM issu du rachat drsquoInterlock de Mobile System 7
pour la supervision des comptes agrave privilegraveges mais aussi de Brainwave avec
IdentityGRC et de Balabit avec Blindspotter
Forcepoint met agrave profit la technologie dans SureView Insider Threat de mecircme
que LogRythm ou encore Varonis pour DatAlert Et que dire Cisco avec
CloudLock ou encore de Symantec avec BlueCoat (et la technologie
drsquoElastica) Citrix lui-mecircme a ajouteacute des capaciteacutes drsquoanalyse comportementale
agrave sa plateforme NetScaler et pas uniquement pour des questions de
performances et de disponibiliteacute
Securonix semble lrsquoavoir bien compris allant bien au-delagrave de la solution limiteacutee
agrave un seul cas drsquousage et deacuteclinant son offre de la gestion de la menace interne
agrave la surveillance des comptes agrave privilegraveges en passant par le renseignement sur
lrsquoexfiltration de donneacutees Une approche que lrsquoon retrouve chez Exabeam Quant
agrave Gurucul il applique sa technologie autant agrave lrsquoanalyse du comportement
drsquoentiteacutes de lrsquoinfrastructure qursquoagrave celle des identiteacutes ou encore agrave la seacutecuriteacute des
services Cloud
Entre deacutetection des menaces sur les hocirctes (EDR) preacutevention des fuites de
donneacutees (DLP voire CASB) et controcircle des comptes agrave privilegraveges (PAM) les
controcircles de seacutecuriteacute susceptibles de profiter des techniques drsquoapprentissage
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 26 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
automatique ndash ou machine learning ndash pour eacutetablir des profils comportementaux
avant de deacutetecter des deacuteviations ne manquent pas
Et cela vaut aussi pour la gestion des accegraves et notamment de
lrsquoauthentification comme le relevait mi-mars Anton Chuvakin soulignant au
passage les leccedilons apprises du monde bancaire ndash ougrave CA et RSA nrsquoont pas
manqueacute drsquoacqueacuterir de lrsquoexpeacuterience De nombreux acteurs du marcheacute
relativement jeune de lrsquoauthentification continue srsquoappuient ainsi sur la biomeacutetrie
comportementale ndash en multipliant les sources de teacuteleacutemeacutetrie et crsquoest bien lagrave leur
originaliteacute ndash pour associer un niveau de risque aux requecirctes en authentification
et deacuteterminer si des facteurs suppleacutementaires sont requis pour confirmer
lrsquoidentiteacute proclameacutee de lrsquoutilisateur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 27 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Identifier les signes preacutecurseurs drsquoune
intrusion reacuteseau
Kevin Beaver Principle Logic LLC
Deacutetecter les intrusions reacuteseau neacutecessite une pleacutethore drsquoinformation
Lrsquoexpert Kevin Beaver explique pourquoi les eacutequipes de seacutecuriteacute ont
besoin drsquoune vue drsquoensemble du reacuteseau
laquo Avez-vous eacuteteacute compromis raquo Crsquoest la grosse question agrave laquelle personne ne
semble avoir de bonne reacuteponse Souvent et en particulier pour les dirigeants
non-techniques un incident de seacutecuriteacute sera lrsquoun de ces eacuteveacutenements tregraves tregraves
visibles dont tout le monde est informeacute Cela peut ecirctre le cas en particulier
lorsque les attaquants font tomber des systegravemes exposent des donneacutees ou
demandent des ranccedilons
Mais dans de nombreuses autres situations ndash et probablement la majoriteacute des
intrusions reacuteseau ndash les incidents sont difficiles agrave deacutetecter Degraves lors les pirates
et cyber-deacutelinquants peuvent rester sur le reacuteseau durant des mois voire des
anneacutees sans ecirctre remarqueacutes Et crsquoest pourquoi ces eacuteveacutenements sont difficiles agrave
geacuterer
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 28 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pourquoi les intrusions reacuteseau sont
difficiles agrave repeacuterer
Michel Dans un monde ougrave les attaquants ont tout le temps du monde et ougrave de
nombreuses bregraveches sont deacutecouvertes par des tiers les entreprises sont
clairement des cibles faciles Lrsquoun des eacuteleacutements les plus importants pour
deacuteterminer si une intrusion reacuteseau est survenue ou pas est de savori ce qui est
laquo normal raquo Bizarrement ce point est souvent neacutegligeacute ou seulement pris en
compte apregraves une bregraveche
Mais le fait est qursquoil y a tellement de bruit sur un reacuteseau et de trafic qursquoil peut
ecirctre difficile de faire la diffeacuterence entre des eacuteveacutenements leacutegitimes tels que des
requecirctes DNS et des infections par maliciels avanceacutes ou encore des attaques
en deacuteni de service des opeacuterations de reconnaissance ou une utilisation
inapproprieacutee de privilegraveges Dans un tel contexte deacuteterminer ce qui est normal
sur son reacuteseau nrsquoest pas simple
Qui plus est chacun est prisonnier de ses activiteacutes quotidiennes et des
speacutecificiteacutes propres agrave ses fonctions chacun a donc une perception diffeacuterente
de ce qui est normal pour sa fonction Et si tout change rapidement cela vaut
aussi pour ces perceptions
Certains jeunes clients qui nrsquoont jamais proceacutedeacute agrave un audit de seacutecuriteacute ou
activement superviseacute leurs reacuteseaux peuvent ecirctre tenteacutes drsquoestimer que puisque
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 29 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
rien nrsquoest laquo vu raquo rien de meacutechant ne se passe sur leur infrastructure Ils nrsquoont
aucune ideacutee de ce agrave quoi srsquoattendre parce que crsquoest tout ce qursquoils connaissent
Leur perception de la reacutealiteacute est diffeacuterente de la reacutealiteacutehellip
Lire les signes avant-coureurs
Malheureusement il nrsquoy a pas un signe avant-coureur preacutecis pour les intrusions
reacuteseau Deacutetecter ces intrusions neacutecessite de rassembler beaucoup de petits
eacuteleacutements isoleacutes Et crsquoest toute la difficulteacute Il nrsquoy a pas drsquoideacutee correcte de que ce
qui est bon ou mauvais compte tenu de tous les eacuteleacutements impliqueacutes
A moins que les administrateurs reacuteseau et seacutecuriteacute ne soient intimement
familiers de la maniegravere dont les choses sont censeacutees se preacutesenter il nrsquoy a pas
de bonne maniegravere drsquoobtenir la visibiliteacute et les informations neacutecessaires pour
garder les choses sous controcircle
Crsquoest lagrave que les technologies de seacutecuriteacute entrent en jeu Les journaux drsquoactiviteacute
traditionnels des pare-feu ainsi que des IPSIDS tendent dans une certaine
mesure agrave creacuteer plus de problegravemes qursquoils nrsquoen reacutesolvent Non pas qursquoils soient
inutiles mais ils contribuent agrave creacuteer un faux sens de seacutecuriteacute quand ils ne
noient pas les eacutequipes sous les alertes
A lrsquoinverse des outils plus reacutecents tels que les systegravemes de gestion de
terminaux mobiles (MDM) de preacutevention des fuites de donneacutees (DLP) de
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 30 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM) de passerelle
drsquoaccegraves cloud seacutecuriseacute (CASB) ou encore les technologies drsquoanalyse de
seacutecuriteacute peuvent ecirctre mis agrave profit pour dresser un tableau complet de ce qui se
passe dans lrsquoenvironnement et de ce qui pourrait ecirctre anormal
Mecircme les outils de surveillance du trafic traditionnels tels qursquoOmniPeel et
Wireshark sont positionneacutes comme des outils pouvant aider agrave gagner en
visibiliteacute sur ce qui se passe sur le reacuteseau et agrave obtenir un profil de base drsquoune
norme drsquoactiviteacute sur le reacuteseau
Crsquoest ce niveau de visibiliteacute qui est neacutecessaire non seulement relever les plus
petites anomalies mais aussi pour ecirctre capable drsquoappreacutehender la situation plus
largement pour savoir ce qui se passe reacuteellement sur le reacuteseau
Nous savons tous ce qui se passe lorsque survient une bregraveche lrsquoinformation
sort pour toujours et ne revient pas
Les entreprises peuvent ne pas savoir exactement quoi chercher pour repeacuterer
des intrusions reacuteseau mais une chose est sucircre si elles nrsquoont pas un bon profil
nominal de leur environnement et un eacuteventail de technologies raisonnable pour
la deacutetection et la reacuteponse elles nrsquoont aucune chance contre ces attaques
Les entreprises doivent connaicirctre leurs systegravemes leurs reacuteseaux et leurs risques
ndash pas parfaitement mais aussi bien que possible ndash avant de pouvoir ecirctre precirctes
agrave reacutepondre efficacement et eacuteventuellement preacutevenir les intrusions reacuteseau
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 31 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
DarkTrace renforce sa solution de deacutetection
drsquoanomalies
Valeacutery Marchive journaliste LeMagIT
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 32 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le britannique a annonceacute la troisiegraveme version de sa plateforme de
deacutetection drsquoanomalies Au passage il en a enrichi les capaciteacutes de
reporting et ajouteacute le support des standards Stix et Taxii Lrsquoeacuteventail
drsquoattaques deacutecouvrables a eacuteteacute eacutetendu
DarkTrace a profiteacute de la torpeur de lrsquoeacuteteacute pour annoncer la troisiegraveme version de
sa solution de deacutetection drsquoanomalies reacuteseau Enterprise Immune System Pour
meacutemoire le britannique applique lrsquoapprentissage automatique agrave lrsquoanalyse des
flux reacuteseau - physiques comme en environnement virtualiseacute et Cloud Cette
observation couvrant autant que possible toutes les couches du modegravele ISO
doit permettre de reconstituer les flux de donneacutees afin de comprendre les
utilisateurs et leurs activiteacutes
Sur ce terrain DarkTrace est notamment concurrenceacute par Vectra Networks
reacutecemment arriveacute en France et qui srsquoattache aux flux reacuteseau pour deacutetecter les
attaques durant leur phase dite active celle qui recouvre les communications
avec les centres de commande et de controcircle la reconnaissance les
deacuteplacements lateacuteraux lrsquoaccegraves distant ou encore lrsquoexfiltration de donneacutees
notamment Mais DarkTrace va plus loin depuis ce printemps avec Antigena
sa solution de reacuteponse aux attaques en phase active Encore faut-il toutefois
deacutetecter toutes les attaques
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 33 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Et justement dans sa troisiegraveme version la solution de deacutetection de DarkTrace
gagne en profondeur devenant capable de deacutetecter les attaques les plus
furtives ndash dites low and slow ndash celles utilisant une encapsulation dans des
requecirctes DNS pour passer inaperccedilues ou en pouvant effectuer des correacutelations
entre infrastructures disparates
Le britannique revendique eacutegalement une ameacutelioration de la reacuteactiviteacute de ses
algorithmes deacutecisionnels Une application mobile permet aussi aux eacutequipes de
seacutecuriteacute de reacuteagir aux alertes remonteacutees par Antigena ougrave qursquoelles se trouvent
La solution de DarkTrace srsquoouvre en outre avec sa troisiegraveme version
permettant de partager des donneacutees de deacutecouvertes drsquoattaques en interne avec
des tiers internes comme externes en srsquoappuyant sur les standards Stix et
Taxii
Enfin la nouvelle version de la solution de DarkTrace ambitionne de rendre la
seacutecuriteacute informatique plus accessible au-delagrave des speacutecialistes avec rapports et
tableaux de bord devant offrir laquo une visibiliteacute sans preacuteceacutedent agrave tous les niveaux
de lrsquoorganisation et agrave tous les niveaux de compeacutetence raquo
Reacutecemment DarkTrace a indiqueacute avoir leveacute 75 M$ dans le cadre drsquoun
quatriegraveme tour de table Et de revendiquer un portefeuille de contrats drsquoune
valeur de 200 M$ en progression de 140 sur un an et plus de 3000
deacuteploiements agrave travers le monde
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 34 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Au mois de mai le britannique srsquoest associeacute agrave Siemens pour eacutetendre le
peacuterimegravetre couvert par sa solution aux environnements industriels de type
ICSScada
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 35 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Alertes de seacutecuriteacute reacuteseau deacutepasser les
difficulteacutes
Kevin Beaver Principle Logic LLC
Les alertes de seacutecuriteacute reacuteseau sont nombreuses mais peu informatives
Il existe toutefois des strateacutegies permettant de deacutepasser ces difficulteacutes
pour ameacuteliorer la seacutecuriteacute
Une eacutetude reacutecente de la Cloud Security Alliance et de Skyhigh Networks
intituleacutee IT Security in the Age of Cloud a montreacute qursquoun nombre significatif de
professionnels de lrsquoIT et de sa seacutecuriteacute peinent agrave suivre le rythme face aux
alertes de seacutecuriteacute remonteacutees depuis le reacuteseau
Pregraves drsquoun tiers des 228 reacutepondants ont ainsi indiqueacute tout simplement ignorer
ces alertes du fait drsquoun nombre trop eacuteleveacute de faux positifs Plus du quart des
sondeacutes jugent en outre recevoir plus drsquoalertes que ce agrave quoi ils peuvent
consacrer une enquecircte
Ces reacutesultats ne trahissent pas simplement des bregraveches en devenir pour
lrsquoessentiels ils constituent la neacutegation drsquoune part significative de tout ce qui a
eacuteteacute fait jusqursquoici pour ameacuteliorer la seacutecuriteacute des entreprises
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 36 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
En outre 40 des reacutepondants assurent manquer de renseignements
immeacutediatement exploitables sur les alertes qursquoils reccediloivent Qursquoest-ce cela
reacutevegravele des controcircles et des processus de seacutecuriteacute qui ont fait jusque-lagrave lrsquoobjet
drsquoinvestissement
Si ce nrsquoest pas tregraves flatteur cela mrsquoempecircche pas pregraves de 54 des sondeacutes
drsquoindiquer que leurs organisations preacutevoient drsquoaugmenter leur budget seacutecuriteacute
dans le courant des 12 prochains mois Ce qui appelle naturellement la
question suivante vont-ils simplement deacutepenser plus en espeacuterant reacutegler le
problegraveme
Heacutelas les remegravedes rapides et faciles ne fonctionnent pas ndash et ne fonctionneront
jamais Pour deacutepasser ces difficulteacutes il est neacutecessaire drsquoadopter un regard neuf
sur la maniegravere dont est appreacutehendeacutee la seacutecuriteacute de lrsquoinformation Et peut-ecirctre
revoir lrsquooutillage
Degraves lors comment avancer La situation de chacun est unique mais il existe
des strateacutegies et des tactiques qui peuvent ecirctre utiliseacutees pour gagner un
semblant de controcircle sur la situation
La premiegravere eacutetape consiste agrave srsquoaccorder sur ce qui est important Et en
lrsquooccurrence sur quels types drsquoattaques sur quels systegravemes speacutecifiques de
lrsquoinfrastructure meacuteritent lrsquoattention des eacutequipes IT et de seacutecuriteacute Cela peut
recouvrir les applications de lrsquoentreprise situeacutees dans la DMZ ainsi que les
alertes remonteacutees par les pare-feu et les systegravemes de deacutetection drsquointrusion
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 37 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
(IDS) Cela peut eacutegalement recouvrir les points de terminaison tourneacutes vers
lrsquointerne en incluant peut-ecirctre preacutevention des fuites de donneacutees (DLP) et
protection contre les logiciels malveillants
En interne comme en externe un fournisseur de service de gestion des
informations et des eacuteveacutenements de seacutecuriteacute (SIEM) doit ecirctre impliqueacute Et
surtout il srsquoagit de se demander quelles informations ndash nouvelles ou ameacutelioreacutees
ndash doivent ecirctre fournies ou au moins lesquelles peuvent faciliter le processus de
prise de deacutecision
Geacuteneacuteralement la plupart des problegravemes lieacutes aux alertes de seacutecuriteacute remonteacutees
du reacuteseau sont lieacutes au manque drsquoaffinement de la configuration des systegravemes
de seacutecuriteacute utiliseacutes
Compte tenu des contraintes de temps et du manque de compeacutetences de
gestion du temps ainsi que des eacutecarts de connaissances et de formation lieacutees
aux produits et eacuteveacutenements de seacutecuriteacute ndash quoi chercher ndash de nombreux
systegravemes sont deacuteployeacutes suivant un mode laquo installer et oublier raquo
Mais sans un suivi et un ajustement des configurations continus des pare-feu
IDS systegravemes de preacutevention des intrusions (IPS) et autres SIEM il nrsquoest pas
possible de reacuteussir agrave mesurer lrsquoefficaciteacute des efforts consentis Chaque systegraveme
de seacutecuriteacute doit ecirctre traiteacute dans une boucle drsquoameacutelioration continue
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 38 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Si les entreprises ne consacrent pas temps et ressources neacutecessaires agrave ce
travail continu elles ne font que creacuteer un sentiment trompeur de seacutecuriteacute et se
preacuteparent agrave eacutechouer agrave long terme
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 39 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Juniper Networks srsquooffre un speacutecialiste de
lrsquoanalyse comportementale
Valeacutery Marchive journaliste LeMagIT
Lrsquoeacutequipementier va inteacutegrer la technologie de Cyphort agrave sa plateforme de
protection contre les menaces avanceacutees Sky ATP pour compleacuteter son
eacuteventail de lutte contre les attaques passant au travers des premiegraveres
lignes de deacutefense
Juniper vient drsquoannoncer le rachat de Cyphort une jeune pousse creacuteeacutee en 2011
et speacutecialiseacutee dans la deacutetection des menaces avanceacutees Sous la houlette de
ses fondateurs dont Fengmin Gong ancien McAfee de FireEye et co-
fondateur de Palo Alto Networks elle a deacuteveloppeacute une plateforme appeleacutee non
sans un certain humour Anti-SIEM parce qursquoelle ne geacutenegravererait pas laquo le bruit et
la complexiteacute raquo inutiles des traditionnels systegravemes de gestion des informations
et des eacuteveacutenements de seacutecuriteacute (SIEM)
Mais le cœur de lrsquooffre de Cyphort crsquoest drsquoabord un moteur analytique deacutedieacute
aux eacuteveacutenements de seacutecuriteacute le SmartCore Il est alimenteacute par des collecteurs
distribueacutes dans lrsquoensemble de lrsquoinfrastructure ndash systegravemes de protection
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 40 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
peacuterimeacutetrique hocirctes serveurs Web serveurs de messagerie annuaires postes
de travail etc voire SIEM srsquoil y en a deacutejagrave de deacuteployeacute dans lrsquoenvironnement
Le moteur analytique SmartCore applique lrsquoapprentissage automatique et
lrsquoanalyse comportementale pour deacutetecter les attaques avanceacutees cibleacutees
laquo souvent en lrsquoespace de 15 secondes raquo revendique Cyphort SmartCore se
charge de mener automatiquement lrsquoenquecircte au sein de lrsquoinfrastructure
surveilleacutee agrave la recherche drsquoeacuteleacutements lieacutes aux incidents deacutetecteacutes et doit
permettre drsquoacceacuteder ainsi agrave une repreacutesentation graphique et chronologique de
lrsquoattaque en cours
La plateforme Anti-SIEM peut profiter de cette connaissance produite par le
moteur analytique pour lancer automatiquement des opeacuterations correctrices
comme une mise en quarantaine drsquohocirctes compromis
Le montant de lrsquoopeacuteration nrsquoa pas eacuteteacute communiqueacute Mais depuis sa creacuteation
Cyphort a leveacute pregraves de 54 M$ Son Pdg Manoj Leelanivas nrsquoest pas eacutetranger agrave
Juniper il y a deacutejagrave passeacute 14 ans de carriegravere Au moment de quitter
lrsquoeacutequipementier en mai 2013 il en eacutetait vice-preacutesident exeacutecutif en charge des
ventes mondiales des technologies avanceacutees
Juniper preacutevoit drsquointeacutegrer la technologie de Cyphort agrave sa plateforme Sky ATP de
protection contre lrsquoentreacutee de logiciels malveillants notamment par le truchement
des services de messagerie eacutelectronique Mais la contribution de Cyphort aux
offres de Juniper ne devrait pas srsquoarrecircter lagrave Le moteur SmartCore pourrait ainsi
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 41 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
largement beacuteneacuteficier de son inteacutegration agrave SDSN (Software-Defined Secure
Network) non seulement pour collecter des donneacutees sur les activiteacutes au sein de
lrsquoinfrastructure mais eacutegalement pour reacuteagir en conseacutequence
Juniper vient drsquoailleurs tout juste de preacutesenter Contrail Security une solution
permettant de consolider la deacutefinition et lrsquoapplication des politiques de seacutecuriteacute
en environnement hybride
Le rachat de Cyphort par Juniper srsquoinscrit dans une tendance plus vaste de
disparation attendue de lrsquoanalyse comportementale en tant que segment isoleacute
du marcheacute de la seacutecuriteacute informatique Cisco srsquoest ainsi reacutecemment offert
Observable Networks Avant lui Palo Alto Networks avait racheteacute LightCyber
peu apregraves lrsquoacquisition de Niara par HPE entre autres
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 42 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Inteacutegration Casser les silos
Lrsquoapprentissage automatique avanceacute
apporte son aide agrave la seacutecuriteacute reacuteseau
Valeacutery Marchive journaliste LeMagIT
Associer reacuteseau et points de terminaison pour obtenir une vision
complegravete de la menace et pouvoir lutter contre elle dans chacune de ses
dimensions Prometteuse cette approche inteacutegreacutee a deacutejagrave eacuteteacute adopteacute par
drsquoautres bien plus tocirct
Forescout speacutecialiste du controcircle drsquoaccegraves reacuteseau (NAC) et Crowdstrike
semblent se ranger agrave une approche qui tend agrave se geacuteneacuteraliser pour proteacuteger le
systegraveme drsquoinformation en profondeur il faut faire travailler de concert
eacutequipements reacuteseau et hocirctes de lrsquoinfrastructure ces fameux points de
terminaison (ou endpoints) serveurs comme postes de travail et appareils
mobiles
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 43 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Dans un communiqueacute de presse les deux partenaires expliquent ainsi avoir
conclu un partenariat strateacutegique pour fournir laquo visibiliteacute deacutetection de menaces
et reacuteponse complegravetes raquo pour leurs clients conjoints Et il ne srsquoagit pas seulement
drsquoune approche commerciale consolideacutee mais plus loin de la laquo construction
drsquoune solution inteacutegreacutee raquo
Mais le fait que lrsquoapproche nrsquoest pas nouvelle et que les deux partenaires
apparaissent plutocirct chercher agrave suivre le marcheacute qursquoagrave veacuteritablement innover
Ainsi crsquoest degraves le mois de mai 2014 que Sophos a commenceacute agrave articuler une
telle strateacutegique avec son projet Galileo Fin 2015 il lui donnait une premiegravere
concreacutetisation avec la fonction Security Heartbeat Aujourdrsquohui avec sa solution
Intercept X il a bien avanceacute sur le volet endpoint avec agrave la fois analyses
dynamique et statique appliqueacutees agrave la deacutetection de codes malveillants
Fortinet nrsquoa pas deacuteveloppeacute une approche diffeacuterente notamment avec sa
Security Fabric Preacutesenteacutee en deacutebut drsquoanneacutee cette architecture srsquoappuie sur
une seacuterie drsquointerface pour multiplier les inteacutegrations multilateacuterales Son annonce
au printemps 2016 srsquoest accompagneacutee de celle drsquoun premier partenariat avec
Carbon Black Et que dire dans cette perspective de la strateacutegie de Palo Alto
Networks avec son Application Framework mais surtout Traps Et cela vaut
eacutegalement pour lrsquoapproche de Kaspersky avec KATA ou encore celle de
Check Point avec sa plateforme Infinity
En mars 2016 Christian Fredrikson CEO de F-Secure le soulignait drsquoailleurs
affirmant que le endpoint laquo est de retour raquo laquo des anneacutees drsquoinvestissement sur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 44 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
le reacuteseau nous en ont convaincu ndash il est impossible de comprendre pleinement
ce qui se passe sur lrsquoinfrastructure en se contentant drsquoobserver le reacuteseau Et agrave
plus forte raison lorsque de plus en plus de flux sont chiffreacutes raquo
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 45 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Comment rapprocher eacutequipes seacutecuriteacute et
reacuteseau
Mike O Villegas K3DES LLC
Une approche consolideacutee des projets seacutecuriteacute et reacuteseau pourrait aider agrave
ameacuteliorer la posture de seacutecuriteacute de lrsquoentreprise Lrsquoexpert Mike O Villegas
deacuteveloppe
Les politiques standard et proceacutedures drsquoentreprise existent pour srsquoassurer que
tous les employeacutes adhegraverent agrave un ensemble de regravegles communes qui peuvent
toucher agrave la gestion du changement aux achats agrave la seacutecuriteacute agrave la reacutetention des
donneacutees agrave la gestion de la confidentialiteacute agrave celle des configurations aux
usages acceptables des ressources de lrsquoentreprise ou encore aux
meacutethodologies de deacuteveloppement de systegravemes
Tous ces documents doivent ecirctre actualiseacutes et formellement approuveacutes chaque
anneacutee et ecirctre accessibles agrave tous les employeacutes
Sans mandats valideacutes et soutenus par lrsquoentreprise les changements apporteacutes agrave
lrsquoenvironnement vont apparaicirctre deacutecousus ou chaotiques Et eacutemergeront des
activiteacutes redondantes voire conflictuelles aux effets potentiellement
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 46 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
deacutesastreux non-respect des objectifs de qualiteacute de service modes de
protection contradictoires ou encore outil rendus inefficaces Crsquoest lagrave que les
beacuteneacutefices drsquoune approche consolideacutee et coheacuterente des projets de seacutecuriteacute et de
reacuteseau montrent toute leur valeur
Lrsquoapproche consolideacutee ndash via console unique ndash srsquoapplique eacutegalement aux outils
communeacutement utiliseacutes pour apporter des changements agrave lrsquoenvironnement IT
Ces outils devraient ecirctre inteacutegreacutes aux processus de gestion du changement et
inclure un systegraveme de gestion de tickets pour reacutefeacuterence Si des changements
sont permis en dehors du processus globalement accepteacute un changement peut
venir en contredire un autre
Et cela peut conduire agrave des mises agrave lrsquoindex inutiles et regrettables voire agrave
peacutenaliser la capaciteacute de lrsquoentreprise agrave servir ses clients et agrave atteindre ses
objectifs Et crsquoest sans compter le risque drsquointroduire des vulneacuterabiliteacutes qursquoil
serait autrement possible de preacutevenir
Ceci dit les systegravemes de supervision nrsquoont pas besoin de suivre cette approche
consolideacutee et peuvent ecirctre speacutecifiques agrave chaque groupe Par exemple les
systegravemes de gestion des informations et des eacuteveacutenements de seacutecuriteacute (SIEM)
sont centreacutes sur la supervision de la seacutecuriteacute des hocirctes de lrsquoinfrastructure des
eacuteveacutenements anormaux des vecteurs drsquoattaque des violations de regravegles et des
activiteacutes drsquoinvestigation
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 47 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le centre opeacuterationnel de seacutecuriteacute (SOC) utilise le SIEM pour suivre les
activiteacutes guideacutees par un plan de reacuteponse agrave incident Tandis qursquoun centre
drsquoexploitation reacuteseau (NOC) utilise drsquoautres outils sur le mecircme reacuteseau et les
mecircmes journaux drsquoactiviteacute pour suivre trafic reacuteseau temps de reacuteponse
utilisation de bande passante et respect des engagements de niveau de
service
En fait rapprocher les eacutequipes de seacutecuriteacute et du reacuteseau en consolidant certains
de leurs outils permet notamment drsquoameacuteliorer la gestion du changement et
lrsquointeacutegriteacute de lrsquoenvironnement Las tous les outils nrsquooffrent pas le peacuterimegravetre
fonctionnel neacutecessaire agrave la satisfaction des besoins du SOC et du NOC
Degraves lors il peut y avoir des redondances entre outils Mais les processus et les
meacutethodologies lieacutes agrave la gestion agrave celle des mises en production et les
systegravemes de gestion de tickets peuvent et devraient ecirctre utiliseacutes conjointement
par les deux groupes
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 48 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Palo Alto Networks se preacutepare agrave proposer la
technologie de LightCyber
Valeacutery Marchive journaliste LeMagIT
A lrsquooccasion des Assises de la Seacutecuriteacute Reneacute Bonvanie directeur
marketing de Palo Alto Networks a indiqueacute que lrsquoeacutequipementier preacutevoit
drsquoapporter agrave ses clients cette technologie drsquoici la fin de lrsquoanneacutee
Crsquoest tout deacutebut mars que Palo Alto Networks srsquoest offert LightCyber mettant
ainsi la main sur une plateforme mettant agrave profit lrsquoapprentissage automatique
non superviseacute pour eacutetablir des profils comportementaux et deacutetecter les
anomalies susceptibles de trahir des activiteacutes malicieuses
Baptiseacutee Magna cette plateforme srsquoappuie sur la collecte de donneacutees relatives
au trafic reacuteseau mais eacutegalement aux points de terminaison et aux utilisateurs
Ces donneacutees alimentent un moteur analytique srsquoappuyant sur des algorithmes
de machine learning pour construire des profils comportementaux de chaque
actif de lrsquoinfrastructure et des utilisateurs afin de faire ressortir drsquoeacuteventuelles
anomalies Le moteur drsquoanalyse est au passage eacutepauleacute par des flux de
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 49 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
renseignement sur les menaces ainsi qursquoun bac agrave sable drsquoanalyse de fichiers
suspects
Mais quid de lrsquointeacutegration De passage agrave Monaco agrave lrsquooccasion des Assises de
la Seacutecuriteacute Reneacute Bonvanie directeur marketing de Palo Alto Networks a
accepteacute de reacutepondre agrave cette question laquo nous allons ajouter ces algorithmes agrave
nos machines pour permettre agrave nos clients drsquoen profiter raquo Dans la pratique de
la mecircme maniegravere que les clients Palo Alto Networks peuvent acceacuteder
optionnellement agrave Wildfire ils pourront activer une option LightCyber ce
service suppleacutementaire sera disponible agrave lrsquoabonnement en fin drsquoanneacutee
Mais techniquement les clients de lrsquoeacutequipementier ne seront pas limiteacutes agrave cette
seule proposition drsquoanalyse comportementale reacuteseau (NTA) Pour meacutemoire
Palo Alto Networks a annonceacute au mois de juin un framework applicatif
permettant de consommer en mode SaaS des applications de seacutecuriteacute tierces
de maniegravere inteacutegreacutee avec ses eacutequipements LightCyber comptera parmi les
applications maison ainsi accessibles
Ce ne sera pas en revanche pas le cas au moins dans un premier temps pour
des fournisseurs de technologies drsquoanalyse comportementale concurrents tels
qursquoExabeam Gurucul et Vectra Networks Ils sont toutefois partenaires
technologiques de Palo Alto Networks
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 50 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Sophos integravegre la technologie de Deep
Learning drsquoInvincea
Valeacutery Marchive journaliste LeMagIT
Pour lrsquoheure elle est appliqueacutee agrave lrsquoanalyse statique de contenus suspects
A terme les perspectives drsquoutilisation sont consideacuterablement plus
eacutetendues
En feacutevrier dernier Sophos a annonceacute le rachat drsquoInvincea une jeune pousse
speacutecialiseacutee sur lrsquoapprentissage automatique pour la deacutetection des menaces
connues et inconnues agrave lrsquoinstar de SentinelOne ou encore de Cylance avec
lequel Sophos avait drsquoailleurs eacutechangeacute une passe drsquoarme en 2016
Pour meacutemoire Invincea revendiquait la capaciteacute de bloquer les logiciels
malveillants sans srsquoappuyer sur la moindre signature jusque pour les menaces
non baseacutees sur des fichiers exeacutecutables en misant sur la surveillance
comportementale Avec sa solution X lrsquoeacutediteur assure eacutegalement offrir une
couche de protection contre le hameccedilonnage cibleacute les liens des e-mails et
piegraveces jointes sont ouverts dans un environnement isoleacute un conteneur
virtualiseacute
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 51 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Rencontreacute aux Assises de la Seacutecuriteacute Michel Lanaspegraveze directeur marketing
de Sophos pour lrsquoEurope de lrsquoOuest est revenu avec nous sur cette opeacuteration
et sur ses projets drsquointeacutegration Et les perspectives srsquoavegraverent vastes
Pour en prendre la mesure il faut revenir au projet Galileo Annonceacute en mai
2014 il vise agrave faire fonctionner de maniegravere coheacuterente et synchroniseacutee tous les
meacutecanismes de deacutefense de lrsquoentreprise depuis le poste de travail jusqursquoau
reacuteseau en passant par les diverses passerelles de filtrage de contenus entre
autres
A lrsquoeacutepoque Michel Lanaspegraveze expliquait lrsquoapproche laquo les systegravemes de
protection reacuteseau voient tout ce qui se passe dans le reacuteseau Ils voient mecircme
ce qui entre et sort du poste de travail mais pas ce qui srsquoy passe Et ils ne
connaissent rien de lrsquoutilisateur
A lrsquoinverse les systegravemes de protection du poste de travail nrsquoont pas de visibiliteacute
sur le reacuteseau et ne disposent donc pas forceacutement drsquoinformations sur les signes
eacutemanant drsquoautres appareils connecteacutes en reacuteseau raquo
Crsquoest fin 2015 que Sophos a commenceacute agrave concreacutetiser ce projet avec la fonction
Security Heartbeat qui assure la communication entre appliances de seacutecuriteacute
dans le reacuteseau et agents de protection des hocirctes
Dans ce contexte lrsquoensemble du systegraveme de deacutefense est susceptible de
deacutevelopper drsquoimportants besoins drsquoanalyser de contenus suspects de maniegravere
consolideacutee Et crsquoest lagrave qursquointervient la technologie drsquoInvincea
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 52 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Pour lrsquoinstant celle-ci est deacutejagrave proposeacutee pour lrsquoanalyse drsquoeacuteleacutements suspects
statique avant exeacutecution eacuteventuelle agrave la recherche de caracteacuteristiques
susceptibles de trahir un code malveillant Et cela dans le cadre drsquoun
programme expeacuterimental accessible agrave certains clients pour la seconde version
de la solution Intercept X
Ainsi la technologie drsquoInvincea intervient lagrave en compleacutement de celle de
SurfRight racheteacute par Sophos fin 2015 qui se concentrait laquo sur la deacutetection et
la preacutevention des manipulations en meacutemoire vive et des abus qui permettent agrave
du code malicieux de srsquoexeacutecuter raquo Mais ce nrsquoest qursquoun deacutebut
Michel Lanaspegraveze explique ainsi que laquo ce savoir-faire drsquoInvincea en Deep
Learning va ecirctre utiliseacute dans drsquoautres choses dans le reacuteseau et ailleurs raquo Parce
qursquoen deacutefinitive laquo le peacuterimegravetre drsquoapplication est quasiment illimiteacute raquo Pas
question toutefois au moins pour lrsquoheure drsquoaller empieacuteter sur le territoire
drsquoacteurs ougrave lrsquoapprentissage automatique est utiliseacute drsquoabord pour deacutefinir des
profils comportementaux sur lrsquoinfrastructure agrave deacutefendre agrave lrsquoinstar de ce que peut
faire Vectra Networks laquo on acquiert la connaissance dans nos laboratoires on
deacuteveloppe nos modegraveles et nos profils en interne et on les fournit agrave nos
clients raquo
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 53 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Acceacuteder agrave plus de contenu exclusif PRO+
Vous avez accegraves agrave cet e-Handbook en tant que membre via notre offre PRO+
une collection de publications gratuites et offres speacuteciales rassembleacutees pour
vous par nos partenaires et sur tout notre reacuteseau de sites internet
Lrsquooffre PRO+ est gratuite et reacuteserveacutee aux membres du reacuteseau de sites internet
TechTarget
Profitez de tous les avantages lieacutes agrave votre abonnement sur httpwwwlemagitfreproducts
Images Fotolia
copy2018 TechTarget Tout ou partie de cette publication ne peut ecirctre transmise ou reproduite dans quelque forme ou de
quelque maniegravere que ce soit sans autorisation eacutecrite de la part de lrsquoeacutediteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur
Page 54 of 54
Dans ce guide
Introduction
Architecture
Deacutetection
Inteacutegration
E-handbook
Le document consulteacute provient du site wwwlemagitfr
Cyrille Chausson | Reacutedacteur en Chef
TechTarget
22 rue Leacuteon Jouhaux 75010 Paris
wwwtechtargetcom
copy2018 TechTarget Inc Aucun des contenus ne peut ecirctre transmis ou reproduit quelle que soit la forme sans lautorisation eacutecrite de
leacutediteur Les reacuteimpressions de TechTarget sont disponibles agrave travers The YGS Group
TechTarget eacutedite des publications pour les professionnels de lIT Plus de 100 sites qui proposent un accegraves rapide agrave un stock important
dinformations de conseils danalyses concernant les technologies les produits et les process deacuteterminants dans vos fonctions Nos
eacuteveacutenements reacuteels et nos seacuteminaires virtuels vous donnent accegraves agrave des commentaires et recommandations neutres par des experts sur
les problegravemes et deacutefis que vous rencontrez quotidiennement Notre communauteacute en ligne IT Knowledge Exchange (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du
secteur