La gestion adaptative des menaces

Stratégies Channel

La gestion adaptative des menaces combine visibilité, coordination et contrôle pour un coût total de possession peu élevé.

Par Gilles Trachsel, Directeur des solutions marketing de Juniper Networks pour la zone EMEA.

Il n’y a pas si longtemps, la présence d’un vers ou d’un virus sur le réseau d’une entreprise signifiait que l’administrateur informatique passerait une partie de la nuit à analyser le firewall et les logs de détection des intrusions afin d’isoler le problème et de contrôler les dommages – une méthode fastidieuse et peu efficace, même avec les anciennes menaces, qui brillaient par leur simplicité. Malheureusement, la plupart des menaces actuelles les plus dangereuses ne sont pas détectées par des solutions de sécurité individuelles, même si l’administrateur procède aux vérifications avec le plus grand soin, parce que :

– Les attaques multidimensionnelles et complexes peuvent être considérées comme des événements infraliminaires par les solutions de sécurité individuelles
– La vitesse et l’ampleur des attaques peuvent rapidement déborder le personnel – et les nouvelles attaques apparaissent plus vite que les administrateurs ne peuvent les chercher
– Les attaques ont lieu aux endroits et aux moments où les administrateurs sont indisponibles – dans des bureaux distants ou à l’occasion de désastres régionaux
– Des administrateurs mécontents ou vénaux sont eux-mêmes la cause de certaines des attaques les plus dangereuses et les plus coûteuses

Une approche coopérative doublée d’une corrélation automatique via plusieurs solutions de sécurité est la meilleure façon de contrer des menaces de cet ordre. Des années d’investissements responsables ont permis d’équiper la plupart des réseaux professionnels de puissantes technologies de sécurité individuelles. Le problème est qu’il s’agit de produits largement ponctuels par nature qui tentent de résoudre les problèmes sans points de repère. Les solutions actuelles vont plus loin dans l’identification des menaces, l’atténuation des effets et le compte rendu de la situation en coordonnant la sécurité sur plusieurs dispositifs au sein de l’infrastructure de réseau et en s’adaptant aux évolutions des menaces. Ces nouvelles solutions adaptatives permettent de gagner du temps et de l’argent, aident se mettre en conformité avec les réglementations sur la santé, les titres, les activités bancaires, la protection de la vie privée et d’autres réglementations, tout en réduisant la lourdeur de la documentation et des comptes rendus.

La gestion adaptive des menaces

Les solutions de gestion adaptive des menaces (AdTM) établissent un système coopératif dynamique qui offre une visibilité et un contrôle sur la totalité du réseau et permet de s’adapter à l’évolution des menaces et des risques. Les solutions sont « adaptives » parce qu’elles modifient la sécurisation du réseau en fonction des menaces, par exemple en plaçant en quarantaine ou en isolant un ordinateur, un utilisateur ou un segment de réseau suspect, en collectant des informations complémentaires pendant une tentative d’intrusion ou en limitant la bande passante allouée à des applications spécifiquement identifiées pendant une attaque du réseau.
AdTM comporte des composants de sécurité tels que des défenses Firewall/VPN situées aux principaux gateways du réseau, des dispositifs de détection et de prévention des intrusions (IDP) bloquant les attaques des réseaux et des applications, et des solutions de contrôle d’accès renforçant des stratégies de sécurité basées sur l’identité. La gestion intégrée de la sécurité des réseaux apporte une réponse complète qui bloque les menaces potentielles pour la sécurité, gère les logs, les flux d’informations, les comptes rendus et la conformité aux processus, et procède à des audits sur un large éventail de dispositifs de réseau et de sécurité.

Fonctionnant en coordination étroite, ces solutions à plate-forme ouverte :

– Corrèlent les informations des solutions afin de détecter les menaces échappant aux critères de détection et de compte rendu des dispositifs individuels
– Détectent des menaces sophistiquées et évasives qui échappent aux solutions de sécurité traditionnelles
Lancent des contremesures bloquant l’attaque tout en alertant les administrateurs et en collectant des informations sur l’attaque à une granularité plus élevée, comme déterminé par la politique de sécurité
– Gèrent et font respecter la politique de sécurité, y compris en mettant à jour et en déployant le logiciel de sécurité client, les signatures, les règles et les communautés d’utilisateurs pour les nouveaux membres du réseau ou ceux qui le réintègrent
– Collectent et communiquent des informations à des fins de sécurité et de conformité, depuis les stratégies jusqu’aux rapports des incidents à travers l’entièreté de l’entreprise

Considérez les alternatives

La plupart des entreprises ont déployé aujourd’hui de multiples produits de sécurité, aussi bien logiciels que hardware.

Produits simples

La force des produits simples (« point products ») réside dans leur capacité à résoudre un problème particulier. Mais leur force est également leur talon d’Achille : ils voient l’arbre et pas la forêt. Ces produits sont fréquemment proposés par des start-ups et il faut donc s’interroger sur leur évolutivité, leur fiabilité et les perspectives de survie de la start-up à long terme.

Solutions propriétaires

Les solutions hardware basées sur des architectures propriétaires sont acquises dans l’espoir que les différents éléments d’un même fournisseur seront parfaitement interopérables et couvriront l’entièreté des processus. Mais même provenant d’une seule source, l’intégration peut être superficielle, voire inexistante dans certains cas. De nombreuses « suites », qui n’en portent que le nom, contiennent des composants utilisant des technologies patrimoniales d’entreprises rachetées – et dont seule la marque est réellement intégrée. La perte de performances résultant d’une intégration inefficace ou de plusieurs systèmes d’exploitation peut être substantielle et même mettre la sécurité en danger.
Du point de vue financier, les coûts et les risques d’un verrouillage dû à l’utilisation d’une seule source sont bien connus, imposant une analyse approfondie des promesses d’interopérabilité et de couverture faites par les fabricants avant de prendre la décision d’acquérir une architecture de sécurité propriétaire. Une approche réellement basée sur les solutions et la flexibilité afférente ne vont pas de pair avec une solution verrouillée et doivent en outre tourner sur un seul système d’exploitation. Ceci minimise et optimise les coûts d’acquisition et les coûts opérationnels.

Garantir la flexibilité et le choix avec une sécurité avancée

Les solutions AdTM sur plate-forme ouverte confèrent aux entreprises une flexibilité et une liberté fabuleuses dans le déploiement de la sécurité tout en réduisant le coût total de la fourniture d’applications et de services sécurisés.
De telles solutions sur plate-forme ouverte intègrent et coordonnent les composants d’infrastructure de réseau et de sécurité afin d’atténuer les menaces qui ne peuvent être contrées par des produits individuels agissant par eux-mêmes :

– Nouvelles menaces – détection des schémas d’attaque même lorsque les définitions et les signatures ne sont pas encore publiques
– Attaques complexes utilisant des trajets multiples – corrélation de l’activité sur plusieurs dispositifs de sécurité, même lorsqu’elle se situe en dessous du niveau d’alerte pour les dispositifs individuels
– Attaques par des personnes autori
sées – intégration avec contrôle d’accès assurant une protection du réseau inviolable

Les solutions AdTM offrent une foule d’options de réaction en temps réel qui peuvent inclure la mise en quarantaine immédiate d’une menace, l’alerte du personnel de sécurité/de réseau, l’isolement d’un point final nuisible ou la restriction de la bande passante du point final ou du segment de réseau nuisible. Qu’elles soient configurées pour agir de façon automatique, semi-automatique ou manuelle, les solutions AdTM s’adaptent en temps réel aux évolutions constantes du paysage des menaces et prennent en charge la sécurité de l’entièreté du réseau. Une coopération intelligente de ce type améliore la portée, l’échelle et l’efficacité de la gestion de la sécurité, et permet aux équipes compétentes de se concentrer sur les tâches de sécurisation qui requièrent leur expertise unique.

Les spécialistes de la sécurité dans les entreprises devraient tenir compte des critères suivants lorsqu’ils évaluent les solutions AdTM pour leur architecture de sécurisation du réseau :

– Une intégration totale sur plusieurs produits de sécurité – qui devrait couvrir le Firewall/VPN, la détection/prévention des intrusions, le contrôle d’accès au réseau (NAC) et l’infrastructure de routage. Les solutions doivent être parfaitement interopérables avec les logiciels antivirus et anti-spam, les équipements de sécurité et l’infrastructure existante
– Contrôle granulaire à base de règles – les solutions de gestion des réseaux et de la sécurité doivent offrir un accès et contrôle granulaires jusqu’au niveau du groupe et de l’utilisateur
– Le déploiement automatisé doublé de la possibilité de cloner et d’adapter les politiques sur plusieurs sortes de dispositifs améliore la sécurité et la conformité, surtout dans les grandes organisations distribuées
– Gestion de la réponse – AdTM nécessite que les solutions adaptent la sécurisation du réseau aux évolutions du paysage des menaces, en restreignant les accès, isolant des segments du réseau, changeant les autorisations, mettant à jour les définitions et les signatures, et en prenant les autres actions requises par la politique interne. Les réglages par défaut et les outils de simplification de l’administration garantissent le succès dès le départ
– Contrôle, compte rendu et audit – une sécurité à long terme du réseau implique que des professionnels compétents aient accès aux données provenant de nombreuses sources sur base desquelles ils prendront des décisions optimisant la sécurité et les performances. Des rapports détaillés et des outils d’audit permettent de garder les réseaux sûrs, de se conformer à la politique et de garantir l’efficacité à long terme
– Compromis performances/sécurité – il ne faudrait pas devoir choisir entre la sécurité et les performances. Prenez garde à des compromis comme l’inspection dynamique des paquets au niveau du firewall, qui augmente l’impact sur les performances lorsque plusieurs éléments de sécurisation sont « en fonction ». Une projection prudente des futurs besoins professionnels et un examen approfondi de l’approche du fabricant en matière de compromis sécurité/performances peuvent aider les administrateurs à éviter les solutions sans issue ou nuisant aux performances
– Évolutivité – la conception de la sécurité doit tenir compte de la croissance future et des évolutions. L’évolutivité est le fruit d’un réseau conçu avec soin et de composants d’infrastructure ajoutant de nouvelles possibilités sans instances superflues de système d’exploitation, couches de réseau inutiles et flux de paquets non optimisés

Conclusion

Une approche qui s’appuie sur des solutions permet de prendre le dessus dans la bataille de la sécurisation des entreprises et offre de nouveaux choix. AdTM marque la fin de l’implémentation fragmentaire de la sécurisation informatique. En corrélant les informations provenant de plusieurs produits de sécurité, en coordonnant leurs réponses à une attaque et en consolidant les informations de sécurité afin de favoriser l’adaptation à court et long terme aux évolutions du paysage des menaces, AdTM améliore significativement la sécurité pour un coût abordable. Une évaluation soigneuse des technologies alternatives et une analyse approfondie de l’équilibre entre la sécurité et les performances aideront les entreprises à tirer le meilleur parti de leurs réseaux, leurs budgets, et du temps et des compétences de leurs équipes.