Le réseau de collecte au service de la détection d'intrusions
28 juin 2019
4 minutes
Comment allier performance et sécurité du réseau ?
Les flux informatiques deviennent de plus en plus critiques pour les grandes entreprises et nécessitent de les analyser pour mieux se protéger des menaces modernes. Dans ce contexte, le déploiement d’un réseau de collecte s’impose comme une bonne pratique en permettant l’accès à la visibilité exhaustive du trafic réseau. Mais comment allier performance et sécurité du réseau ? Quels outils de sécurité faut-il utiliser ? Comment définir les points de collecte les plus judicieux ? Lisez notre article pour comprendre l’ensemble de ces enjeux.
Un besoin croissant d’analyse fine des flux internes
En matière de sécurité, les entreprises, après s’être longtemps dotées d’équipements analysant les flux entrant et sortant, ont désormais besoin d’analyser plus finement le contenu des flux internes au sein de leur SI. C’est à ce besoin que répondent les solutions de détection d’intrusion (IDS) de Nouvelle Génération fondées sur l’analyse comportementale à base d’intelligence artificielle.
Les IDS NG sont en mesure de détecter l’activité anormale d’une machine puis de reconstruire le parcours d’une attaque. Les scénarios du type « exfiltration de données » sont identifiés sans même avoir besoin de déchiffrer le trafic SSL. La solution donne une note de risque et de certitude pour chaque événement ou suite d’événements. Cela va permettre de prioriser le traitement des incidents. Cette analyse comportementale est primordiale, car, une fois à l’intérieur du réseau, les cyber-assaillants s’appuient très souvent sur des outils et protocoles légitimes (RPC, WMI, SMB, powershell…) pour passer outre des radars.
Déterminer les points de collecte
Les solutions de sécurité de nouvelle génération doivent avoir une vision la plus large du réseau afin d’analyser le trafic en amont et en aval des serveurs et des postes clients, et ainsi détecter, par exemple, des attaques par rebond entre des machines. Nous aidons les entreprises à déterminer quels sont les meilleurs points de collecte pour éviter les zones d’ombres.
L’objectif est de véritablement analyser l’intégralité des flux, mais aussi de pouvoir les comparer avant et après qu’ils traversent certains serveurs. Par ailleurs, un des facteurs aggravants du manque de visibilité est la virtualisation. Le réseau de collecte apporte une réponse à toutes ces problématiques. Il apporte la capacité aux systèmes IDS de nouvelle génération d’accéder à la visibilité totale du trafic de l’entreprise. Ainsi, ils pourront détecter le moindre comportement suspect.
Le réseau de collecte, comment ça fonctionne ?
Il est, donc, nécessaire d’analyser l’ensemble du trafic réseau, mais sans risquer de le perturber et sans complexifier son exploitation. Un équipement de sécurité ou de monitoring installé en coupure peut défaillir et, par conséquent, nuire à la continuité de service du réseau. La bonne pratique est d’utiliser des TAPs réseau pour capturer le trafic à chaque endroit que l’on souhaite inspecter. Cette technique est simple. Son seul inconvénient est qu’elle nécessite de multiplier les équipements de sécurité à chaque point de collecte. De plus, les organisations ont d’autres besoins de recopie de trafic particulièrement lorsqu’elles utilisent des outils de mesure de performance. Pour toutes ces raisons, nous recommandons de mettre en place un réseau de collecte qui sera indépendant et sans impact sur le réseau de production.En pratique, on prélève les flux soit depuis certains switches du réseau de production s’ils disposent d’un port dédié à la recopie de flux (le port SPAN, ou Switched Port ANalyzer), soit en insérant un TAP optique passif entre les équipements actifs du réseau. Par définition, le TAP optique est transparent au réseau de production puisqu’il ne possède pas d’alimentation électrique ni de pièces mécaniques mobiles.Chaque port SPAN ou TAP est ensuite connecté à des équipements nommés Packet Broker (ou monitoring switch). Plusieurs modèles existent selon le nombre de ports nécessaires pour agréger l’ensemble du trafic provenant des points de collecte SPAN ou TAP à destination des outils d’analyses telles que les sondes IDS de nouvelle génération.
Le Packet Broker se charge d’aiguiller les flux vers la bonne sonde. Par exemple, en matière de cybersécurité, il enverra tous les paquets HTTP vers un équipement dédié à l’analyse du trafic Web (WAF), tous les paquets SMTP à un autre système dédié à l’analyse des e-mails, etc. Selon le volume de la taille du trafic, il peut également répartir cette charge entre plusieurs outils en assurant à la fois la persistance des sessions ainsi que l’élimination de l’asymétrie de trafic dû aux réseau redondant. Pour rappel, l’asymétrie de trafic génère particulièrement de nombreux faux positifs sur les sondes de sécurité.Il est aussi important de noter qu’opérer le déchiffrement SSL sur la plateforme de monitoring switch améliore d’autant plus le retour sur investissement. En effet, il n’est plus nécessaire d’acquérir une licence de déchiffrement par outil ayant besoin d’inspecter ce trafic chiffré ou de sur-dimensionner la licence pour absorber la surcharge générée par le décodage SSL.
Ainsi, on voit ici tout l’intérêt d’un réseau de collecte qui agrège et filtre le trafic en amont des sondes.