Les généraux les plus victorieux sont souvent ceux qui rassemblent le plus de renseignements avant et durant la bataille. Ils réalisent que plus ils en savent sur leur adversaire, l’environnement de la bataille et sur leurs troupes, mieux ils pourront régler leurs tactiques et leur stratégie pour gagner la guerre. Sans ces renseignements ils seraient aveugles, non préparés, et potentiellement perdants.
Ce même concept s’applique également à la sécurité de l’information. Plus vous avez de renseignements sur votre réseau et ce qui s’y passe, mieux vous saurez comment régler vos politiques (tactiques) de sécurité pour protéger au mieux votre organisation.
Pourtant, il est surprenant de constater combien peu d’administrateurs ont une vision claire de ce qui se déroule sur leurs réseaux. Beaucoup des outils traditionnels de reporting et de logging que nous utilisons depuis des années ne traduisent pas entièrement les importants événements qui se produisent en coulisses dans nos organisations. Les données sont là – enterrées dans les logs – mais faute d’outils de visibilité et d’analytics adaptés il nous est difficile de rapidement les repérer, et d’agir en conséquence. De l’autre côté du rideau, si vous vous équipez d’outils de visibilité, vous découvrirez des choses sur votre réseau et vos utilisateurs que nous n’avez jamais réalisé auparavant, et ceci peut vous aider à renforcer vos défenses. Voici cinq façons dont un meilleur renseignement et une meilleure visibilité peuvent améliorer vos politiques de sécurité.
1. Connaître vos troupes vous aide à la guider
Les contrôles de sécurité actuels authentifient les utilisateurs et identifient les applications sur le réseau en fonction du trafic. Si vous combinez ces capacités avec de bons outils de visibilité, vous bénéficierez d’une toute nouvelle perspective sur ce qui se produit sur votre réseau. Vous verrez sur quels outils et quelles applications vos utilisateurs s’appuient, qui utilise le plus de bande passante, quels types de fichiers ils téléchargent, et beaucoup d’autres choses. Toute cette information vous aidera à élaborer les règles de gestion de votre réseau. Si vous constatez qu’une application mobilise plus de bande passante qu’une autre application plus stratégique ? Pas de problème, ajoutez des règles de qualité de service pour donner la priorité à ce qui est important pour votre entreprise, ou bloquer l’autre application entièrement. De même, vous pourrez identifier ceux qui utilisent des applications plus risquées, telles que Bittorrent. Une fois informé, vous pourrez découvrir pourquoi, et décider de l’interdire si nécessaire.
2. Comprendre l’état de fonctionnement normal de votre réseau
Le trafic réseau est différent d’une entreprise à une autre, en fonction de son industrie et de ses activités. C’est la raison pour laquelle il n’existe pas de norme standard définissant un trafic réseau ‘normal’. La seule façon pour vous de détecter une activité anormale et potentiellement dangereuse sur votre réseau est de comprendre à quoi ressemble une activité « normale ». Et la façon la plus simple pour un être humain de reconnaître ce qui est normal est de voir le trafic réseau interprété visuellement. En consultant régulièrement des outils de visualisation, vous commencerez à comprendre ce qui constitue l’état de fonctionnement normal de votre réseau. Ceci réalisé, vous serez capable d’identifier des ‘pics’ anormaux dans l’activité de votre réseau, qui pourront mettre en évidence des trafics nouveaux ou différents. Ces trafics pourront ne pas être inquiétants, mais le fait de les identifier et de les interpréter vous fournira des informations supplémentaires sur votre réseau … et en fonction des résultats, pourra vous conduire à ajouter de nouvelles règles pour éviter de tels incidents dans l’avenir.
3. Connaître les principales cibles d’attaques sur votre réseau
Les responsables de la sécurité réseau disposent généralement d’outils de protection tels qu’antivirus, outils de prévention d’intrusion et firewalls DPI, qui peuvent reconnaître et bloquer les attaques et les malwares. Toutefois, la plupart d’entre eux se contentent de les mettre en route, et ne se préoccupent pas des résultats de leur activité. .Si un outil IPS bloque une attaque, vous n’avez pas à vous en inquiéter, donc pourquoi vous en préoccuper ? En fait, des outils d’affichage intelligents peuvent vous aider à en apprendre beaucoup sur les schémas d’attaques ; même celles qui échouent. Par exemple, avez-vous regardé quel serveur reçoit le plus grand nombre d’attaques via le réseau ? Quels utilisateurs sont les plus associés aux malwares bloqués ? Ou quels sont les principaux types d’attaques dont vous êtes la cible ? De bons outils d’affichage peuvent mettre en évidence ces informations pour vous, et une fois obtenu les réponses à ces questions, vous pourrez ajuster vos politiques pour sécuriser plus fortement ou restreindre certains utilisateurs, ou renforcer les défenses des serveurs les plus attaqués.
4. Filtrer le bruit de fond de votre réseau
Toute personne ayant déjà contrôlé le trafic Internet sait que tous les équipements connectés produisent un flux constant de « bavardage » réseau. Ce bavardage englobe beaucoup de choses, de robots de diagnostic testant régulièrement les connexions aux scans de ports, en passant par des malwares automatisés à la recherché de nouvelles victimes. De bons outils d’affichage vous aideront à identifier ce bavardage constant, qui pourra ressembler à des connexions aléatoires à des ports populaires tels que TCP 445, 137, 111, 69, 3389, 5800, et ainsi de suite. Les ports que vous verrez sur votre réseau seront différents en fonction de votre localisation dans le monde et de votre activité. En tout état de cause, ce bruit correspond à des connexions non désirées, et en savoir plus sur elles pourrait vous permettre de les bloquer plus efficacement. Votre firewall bloque déjà probablement ces connexions par défaut, mais pourquoi ne pas se passer des acteurs qui sont derrière ? Les boîtiers de sécurité actuels vous permettent de définir des règles de blocage automatique. Si votre solution d’affichage vous montre un grand nombre de tentatives de connexion sur le port 445, pourquoi ne pas ajouter une règle de blocage automatique qui bloquera complètement l’adresse IP essayant d’établir cette connexion ? Après tout, si quelqu’un essaie de façon répétée de se connecter à quelque chose que vous n’autorisez pas, cela ne présage probablement rien de bon.
5. Déterminer si vos tactiques de sécurité actuelles fonctionnent ou non
Vous avez déjà fixé les règles de vos contrôles de sécurité. Peut-être avez-vous segmenté votre réseau interne département par département, et ajouté des règles pour restreindre le trafic sur ces segments. Peut-être voulez-vous que certaines communications empruntent des voies spécifiques, afin que vos systèmes puissent contrôler les communications de données confidentielles avec des outils permettant de prévenir les pertes de données. Ou peut-être avez-vous créé une règle pour imposer le cryptage de certaines communications.
Quelle que soit la solution adoptée, savez-vous si ces règles fonctionnent ou non ? Ou savez-vous si oui ou non il y aurait des moyens de contourner ces règles ? Des outils d’affichage peuvent également vous aider dans ce domaine. Par exemple, certains outils vous aident à visualiser les flux réseau en fonction des règles établies. Ils peuvent vous montrer comment certains types de trafic circulent effectivement dans votre réseau, et quelles règles de sécurité sont efficaces sur ces trafics. Ceci vous permettra d’identifier et de corriger des règles mal configurées au départ, ou de mettre en évidence des règles non utilisées. Peut-être un autre administrateur a-t-il ajouté une règle permettant temporairement d’accéder à un serveur test, puis a oublié de la supprimer. Cette règle non utilisée, si elle n’est pas supprimée, représente un risque. Grâce à des outils d’affichage, vous pouvez identifier les règles les plus ou les moins utilisées, et ainsi éliminer les canards boiteux. Supposons que vous ayez configure un segment réseau uniquement pour accueillir les communications entre vos systèmes de points de vente et vos serveurs. Si vos outils d’affichage vous indiquent soudainement du trafic web et ftp dans les flux réseau de ce segment, vous avez probablement identifié un problème de sécurité, et vous devez mettre en place des règles plus restrictives.
En bref, des outils d’affichage et de tableaux de bord vous aident à identifier ce qui se produit vraiment sur votre réseau, afin que vous puissiez modifier vos règles de sécurité en fonction des réalités de votre business.
Les consultants de Gartner ont déclaré que plus de 95% des failles constatées sur les firewalls sont dues à des erreurs de configuration et non à des défauts du firewall. Ce n’est pas parce que les administrateurs sont stupides ou paresseux. Je pense plutôt que beaucoup d’entre eux n’ont pas accès aux outils d’intelligence dont ils ont besoin pour fixer les règles de sécurité les mieux adaptées aux besoins spécifiques de leur organisation. Les outils de visibilité et de tableaux de bord traduisent l’océan de données contenus dans les logs en intelligence immédiatement utile. Ces outils une fois adoptés, vous découvrirez de nombreuses façons d’améliorer vos politiques de sécurité, et de mieux protéger votre organisation.
__________
Pierre Poggi est Country manager de WatchGuard