Connexion
7 623 Livres Blancs | | |

Vision : multilayer collaborative security

Coordonner les systèmes de protection pour élever le niveau de sécurité globale et répondre aux attaques les plus évoluées.

  • EditeurStormshield
  • Version PDF - 18 pages - 2015 - Français

Obtenir le livre blanc

 

Introduction ou extrait du livre blanc

"Les attaques en réseau, toujours plus élaborées, deviennent de plus en plus difficiles à détecter. Très discrètes, ces nombreuses menaces combinent plusieurs vecteurs d’attaques pour atteindre leur objectif. Une fois la victime identifiée, ce type d’attaque démarre souvent par l’utilisation d’un premier vecteur d’intrusion considéré comme anodin.

A ce stade, la victime ne se rend pas compte qu’elle subit une attaque qui est passée totalement inaperçue pour les systèmes de protection en place.

L’attaque va ensuite s’étendre au sein de l’entreprise cible au moyen de plusieurs techniques distinctes et successives afin d’aboutir à l’objectif fixé (corruption de serveur, exfiltration de données, …). Le délai entre le démarrage de l’attaque et l’atteinte de l’objectif forme une des caractéristiques des attaques avancées persistantes ou APT (Advanced Persistent Threat).

DES PROTECTIONS À COORDONNER

Ces attaques avancées sont conçues pour contourner les systèmes de protection traditionnels et la combinaison de différentes solutions de sécurité sous forme de silo n’est d’ailleurs pas suffisamment efficace. Cependant, ces attaques laissent un certain nombre de traces que l’on peut qualifier de signaux faibles comme par exemple l’accès à un site web non catégorisé.

En associant ces signaux faibles entre eux et en les corrélant avec une cartographie des vulnérabilités, on peut identifier la menace qui révèle ainsi son véritable caractère critique. Il est donc possible de combattre ces attaques multi niveaux en associant et faisant inter-agir plusieurs couches de protection. En pratique, on peut y parvenir de deux façons distinctes.

La première consiste à corréler les événements au travers de solutions de type SIEM. Les événements et incidents de sécurité sont collectés puis analysés afin d’identifier un comportement anormal. Cependant, la corrélation d’événements ne peut se faire qu’une fois que l’attaque a eu lieu. On ne peut agir sur la politique de sécurité que de manière réactive.

La seconde façon, avec une approche basée sur l’intégration des moteurs de sécurité et une véritable interaction entre les différentes solutions de défense, les différents moyens de protection collaborent entre eux en échangeant des données et analysent un comportement en fonction des autres événements détectés. La corrélation s’effectue en temps réel et les différents signaux faibles sont pris en compte dans leur globalité.

Le niveau de protection se trouve ainsi renforcé et la politique de sécurité peut s’adapter de façon dynamique. Les comportements anormaux peuvent alors être bloqués plus rapidement voire même de façon proactive. Cette approche constitue le fondement de la vision de Stormshield pour répondre aux nouvelles menaces."

Vision : multilayer collaborative security