Le firewall du futur, aujourd’hui.

Article tiré du Blog de Jeff Reed

Nous annonçons Cisco Defense Orchestrator qui assure la prise en charge de nouvelles plates-formes, la journalisation dans le cloud et les analyses avancées.

Les entreprises sont aujourd’hui confrontées à la sécurisation de leurs activités partout sur leurs réseaux hybrides : réseaux de campus, sites distants, clouds publics et employés distants. Cette explosion de périmètres signifie que les fonctions de sécurité du réseau doivent être présentes sur les appliances physiques, dans le cloud, dans les succursales et livrées à partir du cloud.

Il en résulte une complexité opérationnelle, aggravée par le fait que la plupart des entreprises utilisent encore des processus manuels pour gérer leurs solutions de sécurité réseau.

Avec le temps, les ensembles de règles peuvent devenir saturées et incohérentes, ce qui expose les organisations à des risques croissants. Un sondage récent mené par Enterprise Strategy Group auprès de professionnels de l’informatique et de l’info-sécurité a révélé que 94% d’entre eux craignaient que cette complexité accrue du réseau ne les rendent plus vulnérables. Et 88% souhaitent rendre les changements de politique de sécurité réseau plus agiles.

Comment pouvons-nous nous assurer que nos contrôles de sécurité soient appliqués uniformément et partout ?

Il faut une nouvelle approche capable de s’adapter à votre réseau en expansion tout en vous aidant également à gérer de manière transparente les stratégies de votre environnement – optimisées par des informations intelligentes.

Au cours des dernières années, les clients Cisco ASA ont adopté Cisco Defense Orchestrator pour simplifier et unifier la gestion des stratégies et des périphériques. Aujourd’hui, nous annonçons une nouvelle plate-forme de prise en charge et une journalisation basée sur le cloud avec des analyses avancées.

Prise en charge de Cisco Defense Orchestrator pour Fire Defense Threat Defense (FTD) et Meraki MX

Désormais, les entreprises peuvent harmoniser de manière transparente les politiques de sécurité de dizaines ou de milliers de périphériques, y compris ASA et, dans un avenir très proche, FTD et Meraki MX. Par exemple, une entreprise de taille moyenne peut avoir des périphériques FTD dans son bureau, des ASA dans son centre de données et des périphériques Meraki MX dans des bureaux distants et à domicile. Plutôt que de gérer trois ensembles de stratégies distincts, le client peut utiliser Cisco Defense Orchestrator pour rationaliser et unifier les stratégies d’accès communes.

En plus de réaliser des économies de temps significatives, Cisco Defense Orchestrator offre une visibilité et une confiance dans les règles qui régissent ces périphériques disparates à partir d’un gestionnaire central unique.

Présentation de Cisco Security Analytics et de la journalisation

Prochaînement, Cisco Defense Orchestrator, le service Security Analytics and Logging vous aidera à prendre de meilleures décisions en matière de gestion des stratégies de sécurité en offrant une visibilité accrue et des capacités de détection des menaces à travers votre pare-feu et votre réseau. Il vous permettra de corréler les événements statiques sur un pare-feu avec l’analyse comportementale et la surveillance de réseau privé activées par Stealthwatch Cloud.

Tout d’abord, il regroupe et centralise l’intelligence à partir des journaux NGFW et des journaux réseau de manière sécurisée dans le cloud, accessible et consultable à partir de Cisco Defense Orchestrator.

Ensuite, il enrichit et met en corrélation l’intelligence des menaces dans le contexte d’événements et d’alertes spécifiques au sein des systèmes d’une entreprise avec le comportement normal de base. Enfin, il utilise ces informations pour accélérer les enquêtes et fournir des informations pour les actions correctives de stratégie de sécurité.

Pour en savoir plus,

Fiche synthétique Cisco Defense Orchestrator

Fiche synthétique Security Analytics and Logging

Le machine learning appliqué aux solutions Cisco Sécurité

On entend beaucoup parler ces derniers temps de l’apprentissage automatique appliqué à la cybersécurité. Il semble que l’un ne va plus sans l’autre.

Les solutions Cisco utilisent le machine learning depuis des décennies. C’est un sujet maîtrisé. L’apprentissage automatique est une méthode utilisée pour détecter et analyser les menaces. C’est une méthode, pas un résultat. En matière de sécurité, la distinction est importante. Ces dernières années, beaucoup d’entreprises ont vanté leur solution d’apprentissage automatique, sans vraiment expliquer ce qu’elle impliquait.

Les premières utilisations du Machine Learning chez Cisco

En 2013, nous avons acquis Cognitive Security, une entreprise entièrement dédiée au machine learning. Nous avons rapidement intégré leur technologie – maintenant appelée Cognitive Intelligence – avec nos solutions de sécurisation du web pour améliorer la détections des menaces . Il s’agit d’une solution de détection passive. Les journaux du serveur proxy sont envoyés vers Cognitive Intelligence à des fins d’analyse. Nous analysons les attributs des journaux (sans examiner la charge utile) pour détecter les activités anormales dans le flux normal. Le résultat est simple : Cognitive Intelligence signale uniquement les hôtes dont elle peut affirmer qu’ils sont compromis. Avertis uniquement des infections confirmées, les analystes ne perdent pas de temps et gèrent seulement la résolution des problèmes et le nettoyage.

Cette solution était la première forme d’intégration de l’apprentissage automatique dans notre gamme de produits de sécurité. Conscients de l’intérêt de cette technologie, nous avons commencé à utiliser ses fonctionnalités robustes d’analyse dans d’autres parties de l’infrastructure de sécurité. Nous avons incorporé des algorithmes pour mettre en corrélation de très grandes quantités de données et récupérer des informations bien plus utiles que celles obtenues à partir d’un seul vecteur. En mettant en corrélation les données du trafic réseau avec les communications sortant du serveur proxy, par exemple, vous pouvez identifier un hôte compromis ayant des privilèges d’administrateur et se déplaçant de façon latérale, ce qui est impossible à détecter avec une seule technologie, sauf si vous connectez plusieurs composants.

L’apprentissage automatique appliqué à la télémétrie du réseau

Cisco est pionnier en matière de fourniture de switchs et de routeurs. L’infrastructure réseau est une source inestimable de données. Par exemple, Stealthwatch collecte et analyse la télémétrie du réseau afin d’identifier les menaces qui pourraient s’y infiltrer. La solution s’intègre avec le moteur d’apprentissage automatique Cognitive Intelligence, qui met en corrélation les comportements des menaces observées localement dans l’entreprise avec ceux observés à l’échelle mondiale. Elle détecte les anomalies et est également suffisamment intelligente pour ensuite classer chaque menace (ce qui est anormal n’étant pas nécessairement malveillant), générant des alertes critiques et extrêmement fiables. Cette technologie est aussi utilisée par Encrypted Traffic Analytics (ETA), qui détecte les malwares dans le trafic chiffré sans déchiffrement, une exclusivité sur le marché.

L’apprentissage automatique appliqué à la sécurité des terminaux

En matière de sécurité des terminaux, il est généralement admis que la détection basée sur la signature (comme les hashs de fichiers) fait partie de la solution, mais elle n’est pas suffisante. Il n’est pas très difficile de changer les valeurs des hashs de fichiers ou les plages d’adresses IP. Ainsi, les hackers peuvent générer de nouveaux hashs SHA256 pour chaque infection. Si une valeur de hash est suffisante pour identifier un seul fichier malveillant, elle ne permet pas d’identifier les infections de malwares polymorphes associés au même exploit ou au même hacker. Le même hash n’apparaît jamais deux fois.

Lorsque nous appliquons l’apprentissage automatique à ces fichiers, nous pouvons les analyser un par un en détail. Cela équivaut à examiner tous les composants d’une voiture plutôt que la voiture dans son ensemble. Toutes les voitures ont des pneus, un moteur, un pare-brise, des fenêtres, un châssis et ainsi de suite. Mais toutes les voitures ne sont pas conçues de la même façon. C’est la même chose pour les malwares. Nous pouvons décomposer chaque menace jusqu’à un niveau de détail exceptionnel (plus de 400 attributs différents). Ces attributs servent de classificateurs au modèle d’apprentissage automatique, et plus le niveau de détails est important, plus il permet d’obtenir un algorithme intelligent, mieux formé ainsi que des résultats d’une plus grande fidélité. Ainsi notre solution d’apprentissage automatique est plus efficace pour identifier les nouvelles menaces remaniées. Les hackers reconditionnent souvent leurs exploits sous différents formats, comme la vulnérabilité Flash de CVE-2018-4878 utilisée dans plusieurs exploits, y compris ROKRAT et la campagne qui s’en est suivie. L’apprentissage automatique est l’une des 14 techniques utilisées par AMP pour Endpoints pour détecter et maîtriser les menaces.

Reconstituer le puzzle

Chez Cisco, nous allons encore plus loin en définissant des modèles de hackers à l’aide de l’apprentissage automatique et du moteur d’analyse Cognitive Intelligence. En mettant en corrélation les données de télémétrie des journaux de proxy web (Cisco et tiers), la télémétrie du réseau (à partir de Stealthwatch), les valeurs SHA256 et le comportement des fichiers identifiés par AMP, nous identifions de quelle manière les hackers fonctionnent, ce qu’ils font et même qui ils sont. En alimentant nos algorithmes d’apprentissage automatique avec cette quantité de données, nous fournissons un niveau inégalé de détection, et surtout, nous bloquons plus de menaces avant qu’elles deviennent un vrai problème. Nous présenterons en détail différents classificateurs dans de prochains articles de blog.

Pour en savoir plus sur la façon dont nous appliquons l’apprentissage automatique dans nos solutions de sécurité Cisco, consultez cette vidéo technique.

 

Article traduit et adapté de la version anglaise : https://blogs.cisco.com/security/how-we-apply-machine-learning-in-cisco-advanced-threat-solutions

 

Il est temps de révéler votre nouveau super-pouvoir : Détecter les malwares au sein du trafic chiffré !

Connaissez-vous la série « Mentalist » ? L’inimitable Patrick Jane dénoue les plus grandes affaires criminelles grâce à ses pouvoir de médium et d’analyste comportemental : Un froncement de sourcils de trop, un rictus inconscient lors d’une conversation informelle, autant de signes qui révèlent un comportement suspect. Aidées par le machine learning, les solutions Cisco utilisent les mêmes techniques pour détecter les malwares au sein du trafic chiffré, a priori opaque.

http versus https

Nos études démontrent que d’ici 2019, 60% du trafic web mondial sera chiffré. Cette évolution va dans le sens de la protection des données transportées dans les flux internet,  bénéfiques pour les entreprises et les particuliers à des fins de respect de la confidentialité. Google favorise aujourd’hui le référencement des sites web en https pour garantir plus de protection aux utilisateurs de ces sites.

Un site web en http permet de collecter de nombreuses informations et l’on peut obtenir jusqu’à 500 caractéristiques observables dans chaque requête. Chaque chargement de page contient de 50 à 200 requêtes HTTP sur le même serveur. Dans ce cas, il est aisé de récolter des informations sur la nature du trafic et son contenu.

 

 

 

 

 

 

 

A l’inverse, un trafic https est beaucoup plus opaque et pauvre en informations visibles. Les domaines de destination ne sont pas directement observables. C’est une opportunité formidable pour les hackers s’ils veulent lancer des attaques cachées.

 

 

 

 

 

 

 

Cisco ETA (Encrypted Trafic Analytics) en résumé

Basé sur du machine learning, Cisco ETA va permettre d’analyser les propriétés de la session TLS et du nom de domaine. Les premiers paquets de chaque connexion contiennent des informations précieuses sur son contenu : les métadonnées.

La solution analyse aussi la taille des paquets et les différences temporelles pour voir quel type de contenu (vidéo, web, voix ou téléchargements) est livré dans la connexion. Une comparaison de ces informations avec la carte globale des risques issue de la Threat Intelligence Cisco Talos permet donc d’évaluer de manière fiable le niveau de risque du paquet analysé sans l’avoir déchiffré.

En savoir plus sur Cisco ETA 

 

Les systèmes de sécurité dits “périmétriques” ne suffisent plus !

Article rédigé par Tanguy Mercier, Acquisition Acceleration Sales Leader EMEAR for Stealthwatch

Face au nombre croissant de nouvelles menaces, les systèmes de sécurité dits périmétrique ne suffisent plus à eux seuls à protéger les systèmes d’information des entreprises, et ce quelques soient leurs tailles.

La sécurité des systèmes d’information de l’entreprise est devenue un enjeu majeur non seulement pour les responsables informatique (CTO, CISO) mais aussi pour les dirigeants (CEO) qui doivent désormais prendre en compte les nouvelles réglementations

Désormais, les responsables de la sécurité des systèmes d’information (RSSI/CISO) n’ont plus le choix que de devoir mettre en place des solutions qui soient capable de contrôler qui accède au réseau de l’entreprise et surtout de détecter le plus rapidement possible tout comportement anormal.

Ces dernières années, Cisco a développé une solution de sécurité innovante qui tire parti de l’infrastructure réseau afin d’analyser son comportement et prévenir en temps réel de toutes déviances liées à un comportement anormal. Il peut s’agir de la propagation d’un logiciel malveillant (malware, ransomware), de l’exfiltration de données sensibles vers le réseau d’un partenaire ou pire vers des machines externes totalement inconnues.

Cette solution baptisée “Network Visibility and Enforcement” (NVE) s’appuie sur un ensemble de composants techniques (matériel et logiciel) capables de collecter un volume très important de données en provenance du réseau, de stocker et d’analyser ces informations en temps réel.

Ces données sont ensuite corrélées avec d’autres sources d’information comme celle de Cisco Talos afin d’aider les centres opérationnels en charge de la cyber sécurité (SOC) à détecter et à neutraliser plus efficacement et plus rapidement toutes nouvelles menaces.

Le succès de la solution Cisco repose sur le fait qu’elle soit capable de gérer tous types d’infrastructures et qu’elle n’impose pas de déployer d’équipements supplémentaires qui viendraient affaiblir ou complexifier le réseau.

De plus, l’efficacité de cette solution repose sur le fait qu’elle combine à la fois l’usage de modèles mathématiques (algorithmes) très aboutis qui ont été développés par les centres de recherche de Cisco pour détecter spécifiquement tous types de menaces avec les dernières évolutions en matière de techniques d’intelligence artificielle (AI) et d’apprentissage automatique (Machine Learning).

Récemment, Cisco a introduit dans ses équipements réseaux la fonctionnalité Encrypted Traffic Analysis (ETA) qui lorsqu’elle est combinée avec la solution NVE permet de détecter la présence d’un logiciel malveillant lorsque celui-ci se propage à travers un flux chiffré.

Avec son initiative “The Network Intuitive”, Cisco considère que la protection des systèmes d’informations à l’ère du tout numérique, ne pourra se faire efficacement que si l’on est capable de surveiller 100% du trafic réseau.

Ce besoin va obliger les entreprises à disposer obligatoirement de systèmes capables de traiter un très grand volume de données et surtout de pouvoir extraire les informations essentielles et utiles afin de servir au mieux les équipes informatiques de plus en plus contraintes.

Découvrez comment votre réseau peut vous aider à mieux vous protéger contre les nouvelles menaces grâce à la solution Cisco NVE et demandez dès à présent un audit gratuit de votre réseau en remplissant le formulaire sur notre site Internet : Cisco Stealthwatch Visibility Assessment.

« Il est NaaS ton réseau ! » : Le nouveau compliment que vous pourriez recevoir…

Et il n’y aurait rien de plus flatteur à l’heure des réseaux intelligents…

La transformation digitale et le réseau intelligent

La transformation digitale des entreprises s’accompagne d’investissements dans des infrastructures intelligentes, agiles et sécurisées.

Une récente étude du cabinet Morgan Stanley prévoit qu’en 2017 les dépenses IT des grandes entreprises devraient progresser de 4,5% et seront orientées vers les solutions Cloud, la sécurité, les outils analytiques et les équipements réseau.

En effet, un réseau performant garantit la fluidité des échanges, le maintien de l’activité, et la sécurité des informations qui y circulent à condition qu’il soit …intelligent ou autrement dit qu’il soit capable de s’adapter au contexte.

Network as a Sensor (NaaS)

C’est pour répondre notamment au besoin des Responsables Sécurité que Cisco propose une nouvelle génération de solution permettant de détecter tous types de menaces en se basant non plus sur des éléments connus (signature, virus, règles de filtrage, etc.) mais sur le comportement du réseau.

La solution Cisco Stealthwatch analyse en temps réel le comportement de n’importe quelle machine connectée au réseau de l’entreprise. Cette analyse s’appuie sur un ensemble d’algorithmes capables de reproduire et donc de détecter un large panel de menaces. Il s’agit donc de sécurité analytique.

Un module d’intelligence artificielle (Stealthwatch Learning Network) peut aussi être directement embarqué dans les équipements réseaux situés aux extrémités de l’infrastructure (agences, succursales, entrepôts) et fournir une couche additionnelle de sécurité comportementale au plus près des utilisateurs.

Déploiement simplifié sur les équipements du réseau

Cisco Stealthwatch s’appuie sur les informations (netflow) transmises par les équipements réseau (switch, router, firewall, proxy). Il n’est donc pas nécessaire de déployer des « sensors » à travers le réseau (le réseau est le sensor). Un seul composant (FlowCollector) et la console d’administration permettent de faire fonctionner la solution. Voir ici la démo de Cisco Stealthwatch déployé dans un environnement médical >

Chaque composant peut être doublé pour assurer de la redondance. La solution est non intrusive et n’affaiblit pas l’infrastructure puisqu’elle n’introduit pas d’équipements actifs supplémentaires en coupure.

Une fois l’environnement configuré le système distingue de lui-même s’il s’agit d’une menace réelle ou d’un événement bénin, évitant ainsi de générer un nombre trop important de de faux-positif et donc de noyer les administrateurs sous les alertes.

Une sécurité analytique pour lutter contre des menaces toujours plus sophistiquées

Les attaques de plus en plus sophistiquées deviennent indétectables par les systèmes de sécurité traditionnels. La protection périmétrique ne suffit plus avec l’émergence du Cloud ou du BYOD.

Ainsi, Cisco Stealthwatch combine des fonctionnalités de Big Data (via la collecte d’informations du réseau, netflow), d’analytique et d’intelligence artificielle. Ses capacités permettent de détecter tous types d’attaques y compris les attaques ciblées type « Zero-Day ».

Il est maintenant temps de rendre votre réseau intelligent, consultez plus de ressources ici sur Cisco Stealthwatch!