Le cauchemar de la sécurité informatique d'aujourd'hui

L’époque où un firewall fiable, un bon programme antivirus et un IDS suffisaient à protéger les actifs de votre entreprise est belle et bien révolue. Les menaces d’aujourd’hui sont sophistiquées et conçues pour passer totalement inaperçues. Les pirates cherchent à profiter financièrement de l’intelligence qu’ils obtiennent pour la revendre ou faire du chantage. D’anciens employés ou des employés insatisfaits cherchent à se venger de leur employeur. La nouveauté des technologies, des partenaires, des consultants et des employés mobiles fait apparaître continuellement de nouvelles vulnérabilités sur les réseaux actuels. L’achat d’une autre solution isolée chaque fois qu’une nouvelle menace fait la manchette des médias ne vous permet pas de vous en sortir. Plusieurs entreprises se tournent désormais vers une approche de sécurité qui intègre des technologies de base, fonctionne continuellement et peut au besoin mettre en application des processus automatisés. Bref, une approche construite sur la base de l’intelligence obtenue sur le réseau et les utilisateurs. Cette approche s’appelle la « Enterprise Threat Management ou l'ETM ». L’approche unifiée de l'ETM permet le partage, entre les différentes technologies, de l’intelligence sur le réseau et les utilisateurs depuis une seule console de gestion. Imaginez pouvoir obtenir des données provenant de balayages passifs et ciblés, de moteurs de prévention des intrusions, et d’une détection d’anomalies de réseau, établir une corrélation entre elles pour assurer une protection continue avant, pendant et après une attaque : Avant une attaque : Voit tout ce qui fonctionne sur votre réseau, y compris les infractions aux politiques et les vulnérabilités, de sorte que vous pouvez durcir vos actifs et minimiser la zone ciblée Pendant une attaque : Connaît l’attaque, son impact et le moment où il faut lancer une alerte ou une mesure de blocage Après une attaque : Minimise l’impact de l’attaque en sachant où l’attaque s’est produite et ce qu'il faut faire pour y remédier. De plus, un système d'ETM peut continuer d’interagir avec les systèmes SIEM existants pour vous aider à recueillir encore plus d’information et tirer le meilleur parti possible de votre investissement de sécurité actuel. En matière de sécurité de réseau et d'ETM, l’ensemble de la solution est plus puissant que la somme des éléments qui la composent.

Le Sourcefire 3D System : Découvrir, déterminer et défendre

Le 3D™ System est le premier système ETM du marché. Grâce à l’établissement d’une corrélation entre l’intelligence sur le réseau et l’intelligence sur les utilisateurs, le Sourcefire 3D System vous permet ce qui suit :

• Découvrir les risques, vulnérabilités, menaces et utilisateurs de votre réseau grâce à Sourcefire IPS™, Sourcefire RNA™ (Real-Time Network Awareness), et Sourcefire RUA™ (Real-Time User Awareness). Le 3D System utilise le moteur primé de détection basé sur des règles SNORT® pour faire bénéficier votre entreprise de méthodes d’inspection basées sur les vulnérabilités, le protocole et les anomalies, pour tout le trafic de votre réseau, à des vitesses allant jusqu’à 10 gigabits par secondes. De plus, RNA surveille de manière passive votre réseau afin de produire des profils très détaillés en temps réel de tous les actifs de votre réseau, y compris leur configuration, leur comportement, leurs vulnérabilités potentielles et les changements connexes.

• Déterminer les infractions aux politiques, les vulnérabilités ainsi que l’impact commercial de tout risque, de même que les mesures à prendre. En intégrant étroitement et en établissant une corrélation entre l’information sur les menaces fournie par Sourcefire IPS et l’intelligence sur les points d’extrémité et le réseau fournie par RNA, et l’intelligence sur l’utilisateur fournie par RUA, le Sourcefire Defense Center™ peut aisément prioriser des millions d’événements de sécurité afin de déterminer les événements les plus graves pour votre entreprise et prendre les mesures appropriées. En misant sur l’intelligence obtenue sur l’utilisateur, Sourcefire 3D vous dit aussi quels sont les différents protocoles auxquels ont accès les utilisateurs et vous dit qui fait fonctionner des applications non standard ou non autorisées.

• Défendre vos actifs en ligne en durcissant à l’avance les actifs et en fournissant des mécanismes d’alertes et de blocage en temps réel. Envoyez des alertes par le biais du courrier électronique, d’un protocole SNMP, d’un démon et de systèmes de dossiers d’incidents. Bloquer les attaques grâce à des firewalls, des Intrustion Prevention Systems, des Switches et des Routers. Corriger la situation grâce à une gestion des corrections ou de la configuration. Tous ces efforts contribuent à minimiser l’impact de toute attaque.

Les composants de base du Sourcefire 3D System

Pour obtenir l’avantage unifié de l'ETM, le Sourcefire 3D System intègre quatre produits de base. Sourcefire IPS, Sourcefire RNA, Sourcefire RUA et le Sourcefire Defense Center. Sourcefire propose ces produits en tant que composants individuels ou en tant que systèmes afin de satisfaire toute une variété de besoins et de budgets en matière de sécurité de l’information.

Sourcefire IPS – élimine le bruit des fausses alarmes
Une prévention efficace commence par une détection et une connaissance hors pair. Grâce à Sourcefire IPS, vous bénéficiez du meilleur taux de détection et de prévention des attaques du marché, par le biais de Snort, le moteur de détection basé sur règles le plus populaire au monde, créé et géré par Sourcefire. Snort utilise un langage basé sur des règles, une combinaison puissante de méthodes d’inspection basées sur des vulnérabilités, sur un protocole et sur des anomalies, afin d’examiner les paquets aux niveaux du protocole Internet et de l’application. Vous pouvez le régler de manière à ce qu’il examine les occurrences d’attaque particulières contre un protocole ou les conditions d’une attaque. En utilisant la souplesse du langage de règles de Snort, vous pouvez lancer une alerte, bloquer ou mettre en quarantaine les menaces critiques grâce à des techniques telles que l’abandon du trafic, l’interruption de sessions entre des appareils, ou l’intégration à des appareils de contrôle d’accès tels que des pare-feux, des routeurs et des commutateurs. Lorsqu’il est déployé en ligne, le système Sourcefire 3D vous permet de remplacer un contenu malveillant par un contenu bénin. La souplesse des règles du langage et les nombreuses options de configuration (densité des ports, types d’interface, modes de déploiement) vous permettent de définir aisément de nouvelles façons d’identifier et de prévenir les menaces, et de mettre en vigueur des politiques spécifiques à votre environnement individuel. Grâce à des vitesses allant de trois mégabits par seconde (Mbps) à dix gigabits par seconde (Gbps), Sourcefire IPS est offert dans toute une gamme de possibilités pouvant satisfaire une variété de besoins. Que le système de prévention des intrusions soit déployé au coeur du réseau, autour du périmètre, dans la zone démilitarisée ou dans des succursales ou bureaux éloignés, Sourcefire IPS a la configuration qui répond à vos besoins. La plupart des appareils sont dotés de possibilités de remplacement à chaud et de haute disponibilité pour les composants du système principal, y compris les sources d’alimentation, les cartes d’interface, les lecteurs de disque et les processeurs, et un temps d’attente de moins de 100 microsecondes.

Sourcefire RNA—recueille l’intelligence 24 heures sur 24, 7 jours sur 7
Un ordinateur portable infecté s’est connecté à votre réseau. Vous avez effectué une correction au réseau le vendredi mais l’ordinateur infecté s’est connecté le lundi suivant. Ou encore, personne ne découvre avant des mois, à l’occasion d’une vérification, qu’un ordinateur infecté s’est connecté à votre réseau. Imaginez plutôt être capable de savoir ce qui s’est produit presque immédiatement après le fait.

Il ne s’agit là que d’un exemple de la façon dont Sourcefire RNA (Real-time Network Awareness) fournit une visibilité en continu et en temps réel, grâce à des méthodes de découverte de réseau passives semblables au SONAR passif d’un navire : Grâce à la découverte passive de réseau, aucun agent n’est requis, il n’y a pas de trafic superflu ou d’interruptions des actifs du réseau. RNA fournit une couche d’intelligence à la surveillance du réseau inégalée dans l’industrie de la sécurité de réseau. RNA comprend aussi un support intégré pour les balayeurs de ports source libre Nessus et Nmap.

Cette information, couplée à la base de données de vulnérabilités RNA vous permet de connaître toutes les vulnérabilités possibles sur votre réseau, en temps réel, et de prendre les mesures appropriées pour les corriger, de manière automatique. si vous le désirez. Vous pouvez utiliser cette information avant et après une menace pour empêcher une attaque ou pour raffiner votre système de prévention des attaques Sourcefire, en le rendant ainsi plus efficace et moins susceptible de générer de faux positifs ou de faux négatifs.

La technologie RNA est déployée de trois manières différentes : comme appareil Sourcefire 3D prêt à protéger n’importe où sur votre réseau, comme logiciel sur un appareil du système de prévention des intrusions Sourcefire, ou sur d’autres serveurs tiers distribués dans votre environnement.

Sourcefire RUA—lie les identités des utilisateurs aux événements de sécurité et de politiques
La découverte de réseau passive, le balayage ciblé actif et l’analyse de flux de réseau de Sourcefire 3D vous fournissent une intelligence étendue sur les points d’extrémité et sur le réseau. Toutefois, Sourcefire vous offre également une intelligence approfondie sur l’utilisateur, grâce à Sourcefire RUA. En effet, vous obtenez de précieuses associations en temps réel d’adresses de réseau aux identités des utilisateurs. Vous obtenez également une corrélation automatique entre les événements de menaces générés par Sourcefire IPS et les événements de comportement et/ou de politiques générés par RNA. Sourcefire RUA vous procure une perception des utilisateurs intégrée comme jamais auparavant. RUA vous aide à identifier les utilisateurs d’applications non standard ou non autorisées en temps réel. de sorte que vous pouvez agir dans l'immédiat. Cela améliore de manière significative vos possibilités de signalement de la conformité et améliore les contrôles d’évaluation de conformité réglementaire puisque les administrateurs peuvent immédiatement identifier les parties responsables des problèmes de sécurité.

Sourcefire Defense Center — établit une corrélation entre les attaques et l’intelligence
Sourcefire Defense Center est le « centre nerveux » du Sourcefire 3D System. Il établit une corrélation entre les attaques et la menace, le point d’extrémité, le réseau et l’intelligence sur l’utilisateur ; il gère de manière centralisée les fonctions de sécurité de réseau critiques, notamment la surveillance, la corrélation et la priorisation de la réponse à un incident, l’analyse de criminalistique, l’analyse de tendances, et les rapports de gestion, de sorte que vous pouvez tirer le meilleur parti possible de votre système d' ETM.

Conçu pour s’adapter aux plus grandes entreprises, le Defense Center possède la seule solution de gestion des données capable de traiter des centaines de millions d’événements pour l’identification des tendances de sécurité à long terme, tout en permettant une analyse de criminalistique au niveau des paquets individuels.

En intégrant étroitement l’intelligence sur les menaces fournie par Sourcefire IPS à l’intelligence sur les points d’extrémité et sur le réseau fournie par RNA, Defense Center établit une corrélation et analyse des événements en temps réel afin de déterminer les infractions aux politiques et les vulnérabilités possibles, l’impact qu’un événement aura sur votre réseau et l’action à prendre.

Defense Center vous permet de protéger en toute confiance votre réseau, en analysant les événements en temps réel et en activant une réponse automatisée selon les règles de « l'abécédaire de la défense » :

• Alerte—avertissements automatisés aux individus et autres systèmes de gestion, via des messages envoyés à l’aide d’un démon, du courrier électronique, de trappes SNMP ou de dossiers d’incidents ; fait en sorte que les avertissements d’attaque sont traités.

• Blocage—les menaces critiques peuvent non seulement être bloquées mais aussi mises en quarantaine grâce à des techniques telles que l’abandon du trafic, l’interruption de sessions entre des appareils, et l’intégration à des appareils de contrôle d’accès tels que des pare-feux et des routeurs.

• Correction—les nouvelles vulnérabilités et menaces peuvent être automatiquement limitées par l'intermédiaire de l'intégration aux systèmes de gestion des corrections ou de la configuration afin d’appliquer les modifications de configuration et de code permettant d'éliminer une exploitation possible.

Defense Center comprend une interface d’analyse basée sur le Web, facile à utiliser et puissante, pour les fonctions de rapport et d’analyse de criminalistique. Les flux de travail personnalisables vous permettent d'adapter l’interface à votre façon d’investiguer et d’analyser les événements de sécurité. De plus, vous pouvez aisément créer des rapports standard ou personnalisés en formats PDF, HTML et CSV qui peuvent être automatiquement envoyés par courriel pour en simplifier la distribution.

Tous les appareils Sourcefire sont conçus pour être installés et prêts à fonctionner en moins d’une heure. Aucune installation logicielle n’est nécessaire. Vous pouvez alors passer à la gestion des corrections, la vérification de l’intégrité du système, l’isolation du système et vos activités de correction personnalisées. En outre, les faibles coûts indirects et le coût total de propriété rendent l’offre d’autant plus attrayante.

Pour plus d'informations sur les produits Sourcefire, n'hésitez pas à nous contacter.