Le manque de visibilité du trafic vulnérabilise-t-il votre réseau ?

Les entreprises et fournisseurs de services sont aujourd’hui conscients de l’importance de sécuriser leurs réseaux. Cependant, ils ne sont pas pour autant complètement sécurisés s’ils ne sont pas protégés de l’intérieur.

Prenons l’attaque massive qui a touché la société Target en décembre dernier. Il s’agit d’un exemple classique de la manière dont une entreprise de ce type, qui aura très certainement pris toutes les mesures de sécurité nécessaires, a tout de même été victime d’une cyberattaque. Dans ce cas, la faille semble être la combinaison de l’intrusion d’un malware dans les terminaux de points de vente et d’un accès réseau compromis par un fournisseur tiers du distributeur.

Heureusement, face à la croissance de ce type de cyberattaques modernes, à la fois perfectionnées et complexes de nature, la plupart des organisations ont connaissance des limites qu’offrent les approches de sécurité « à l’ancienne », qui consistent à simplement construire une protection extérieure aussi impénétrable que possible. En effet, les attaquants la contournent aisément en se concentrant sur un utilisateur légitime déjà à l’intérieur de l’entreprise. Une sécurisation de l’intérieur, en complément d’une protection extérieure renforcée, permet de mieux bloquer et d’identifier non seulement les menaces traditionnelles mais également n’importe quelle activité inhabituelle ou suspecte.

L’approche classique de la sécurisation des réseaux consiste à installer les outils de sécurité au sein du réseau de production, sur les flux des données. Ces éléments de sécurité en ligne peuvent ainsi offrir un niveau élevé de sécurité et de transparence du trafic et des données. Ils présentent cependant des inconvénients majeurs. En effet, l’augmentation en capacité des réseaux, dont la bande passante passe de 1Gbit/s à 10Gbit/s et au-delà, tend à vulnérabiliser leurs performances de protection. Aujourd’hui, les entreprises doivent investir dans plusieurs types de protections (pare-feu, solutions anti-malware, filtres anti-spam, etc.) complémentaires et déployées en série, le trafic étant traité en séquence par chaque élément de sécurité. Par conséquent, chacun des éléments de cette chaîne de liaison présente des risques au niveau de la fiabilité, de la performance et de l’évolutivité pour les entreprises.

Ces risques ont contribué à l’adoption de concepts de réseaux dits « out of band » afin d’améliorer la performance des outils et de rendre les processus de surveillance de trafic plus efficaces. L’analyse de trafic en mode « out of band », comme le propose le protocole NetFlow de Cisco, présente des avantages. À l’aide d’applications d’analyse de trafic, il est possible d’identifier les changements de comportement du réseau en temps réel et de mener des analyses approfondies afin de comprendre et de retracer le parcours des incidents de sécurité. Réaliser ceci avec une méthode traditionnelle, où les éléments d’analyse du trafic sont déployés en série sur le réseau de production, peut causer de sévères dégradations si les charges processeur et mémoire sont trop sollicitées. Pour palier le risque de perte de paquets que cette dégradation peut causer, les éléments réseau ont recours à l’échantillonnage des paquets pour l’analyse des flux. Or, un faible taux d’échantillonnage (pouvant parfois atteindre 1 paquet sur 1000) peut empêcher la détection d’importants événements qui ont lieu sur le réseau.

Ainsi, bien que l’échantillonnage du trafic ait un impact limité sur le contrôle de la performance générale du réseau, son implication avec la surveillance d’incidents de sécurité est plus marquée puisqu’il n’offre pas une vue globale et détaillée. Ce manque de visibilité du trafic vulnérabilise les réseaux.

Une stratégie efficace exige une visibilité étendue, fiable et évolutive du trafic réseau afin non seulement de prévenir les brèches de sécurité, mais également de réagir activement aux menaces potentielles avant qu’elles n’aient pu causer des dommages irréparables.

Ce que propose une stratégie de sécurité « out of band », centrée sur la capture intégrale des flux.