18 février 2019
4 minutes
Le rythme des cyberattaques augmente de jour en jour. Les SI de votre entreprise ont désormais besoin d’analyser plus finement le contenu des flux internes. Comment faire pour mieux détecter les cyberattaques ? Comment définir les meilleurs points de collecte ? Interdata vous accompagne pour mieux vous protéger.
Les flux informatiques deviennent de plus en plus critiques pour les grandes entreprises et administrations. Que ce soit pour moderniser leur stratégie de défense contre les cyberattaques (analyse comportementale à base d’intelligence artificielle) ou pour monitorer la performance de leur SI (communication unifiée, applications, transactions…).
Dans ce contexte, le déploiement d’un réseau de collecte s’impose comme une bonne pratique vous permettant :
- De capturer et agréger les flux vers l’ensemble des sondes déployées sur le réseau
- D’optimiser le coût de déploiement de ces sondes et de faciliter leur exploitation.
En les combinant à des solutions IDS de nouvelle génération, l’investissement se révèle très rapidement rentable.
Sonder votre réseau pour mieux détecter les cyberattaques
Vous entreprise a besoin de mieux détecter les cyberattaques grâce à leurs comportements plutôt qu’à leur signature ? Le tout en analysant l’ensemble du trafic (nord-sud et est-ouest). La solution est simple : la détection d’intrusion (IDS) de nouvelle génération associée à un réseau de collecte.
Grâce à une visibilité plus exhaustive du trafic réseau, l’IDS nouvelle génération est en mesure de détecter l’activité anormale d’une machine, puis de reconstruire le parcours d’un assaillant. À la différence des solutions IDS traditionnelles, les scénarios du type « exfiltration de données » sont identifiés sans même avoir besoin de déchiffrer le trafic SSL.
Comment ça marche ? La solution accorde à chaque événement ou suite d’événements une note de risque et de certitude qui permet de prioriser le traitement des incidents. Cette analyse comportementale est importante, car, une fois à l’intérieur du réseau et pour passer sous les radars, les cyber-assaillants s’appuient très souvent sur des outils et protocoles légitimes (RPC, WMI, SMB, powershell…).
Déterminer les bons points de collecte
« Notre premier rôle en tant qu’intégrateur, est d’aider les entreprises à déterminer quels sont les meilleurs points de collecte pour éviter les zones d’ombres L’objectif est de véritablement analyser l’intégralité des flux, mais aussi de pouvoir les comparer avant et après qu’ils traversent certains serveurs. Très souvent, notre intervention permet à nos clients de découvrir que des anomalies d’architecture existent sur leurs réseaux, typiquement des liens en trop qui pénalisent les performances et augmentent le coût en équipements. Ces anomalies sont communes ces dernières années, car elles naissent lors des rachats d’entreprises ou des changements de personnels. À un certain moment, les équipes en place n’ont plus aucune idée du chemin que suivent leurs flux », témoignent certains de nos clients.
En effet, on remarque souvent que l’un des facteurs les plus aggravants du manque de visibilité est la virtualisation. Ici, les serveurs virtualisés peuvent se déplacer d’un serveur physique à un autre. Pour contourner cette problématique, Interdata peut vous proposer le déploiement de TAP’s virtuels qui sont capables de collecter les flux entre les VM.
Alimentées de ce trafic entre machines virtuelles déployées sur des hyperviseurs (VMWare ESX/NSX ou OpenStack KVM) ou en cloud public (Amazon AWS / Microsoft Azure), les solutions IDS de nouvelle génération sont en capacité d’avoir une visibilité totale sur le trafic de l’entreprise, lui permettant de détecter le moindre comportement suspect au sein de ce trafic.
Interdata peut vous aider !
"Quand nous déployons des solutions IDS de nouvelle génération, nous rencontrons souvent chez nos clients des serveurs mal configurés qui scannent le réseau ou tentent des connexions multiples vers des systèmes qui ne sont plus opérationnels. Le travail d’Interdata consiste donc à les accompagner dans le triage de ces faux positifs, de sorte qu’ils n’apparaissent pas dans la console de surveillance en tant qu’alertes", expliquent les experts Interdata.
L’autre rôle de l’intégrateur consiste à intégrer les solutions IDS nouvelle génération aux infrastructures et outils de sécurité déjà en place. Certaines actions peuvent être automatisées via des API permettant, par exemple, de s’interconnecter avec des firewalls pour leurs signaler qu’une machine n’a plus le droit de communiquer sur Internet. Il est aussi utile d’exporter les logs des IDS vers des SIEMs.
En l’occurrence, il est nécessaire que ces dispositifs SIEM soient en capacité d’interpréter les logs et autres informations envoyés par l’IDS. Nous créons donc des parsers à base d’expressions régulières. Dans un second temps, nous pouvons aider nos clients à créer des tableaux de bord pour piloter ces informations. Cette intégration, spécifique à chaque client, conditionne la rapidité de mise en place du projet.
Ce qu’il faut retenir :
Pour faire face aux menaces toujours plus sournoises et sophistiquées, votre entreprise a la nécessité de protéger ses flux informatiques, mais également de monitorer la performance de ses SI. En optant pour une IDS nouvelle génération, associée à un réseau de collecte, vous aurez toutes les clés pour vous protéger efficacement et dans la durée.
