Depuis le rachat de l’éditeur de logiciel de sécurité Sourcefire, par Cisco, en juillet 2013, on attendait une offre qui fasse la synthèse des logiciels des deux fabricants. C’est désormais le cas.

Sourcefire se distinguait par des outils d’IPS ( Intrusion Prevention System) très évolués et sa plate forme de développement open source «Snort» qui permet de créer un système de corrélation entre les attaques et la menace, le point d’extrémité et le réseau. Du coté Cisco, si l’analyse des menaces et la gestion des ends points (postes clients) étaient bien assurées en amont des attaques, la multiplicité des outils complémentaires laissait planer un doute sur l’efficacité de l’administration de l’ensemble. L’arrivée des outils de Sourcefire a donc renforcé la partie IPS et devrait permettre de corréler, a priori, toutes les informations issues des différents équipements.

Cyril Badeau, ( photo),  le directeur sécurité pour l’Europe du Sud, précisait l’évolution des pare-feux. « Il y a dix ans, on s’attendait à des infiltrations au niveau protocolaire. Désormais, les dangers sont propagés par des applications tout à fait courantes. Il a fallu changer de mode d’analyse, on a même dépassé les niveaux des pare-feux applicatifs pour entrer dans le monde du « Next Generation Firewall  qui apprend et réagit en cours d’exploitation».

La même infrastructure ASA mais de nouveaux logiciels

Image 013

Sur le fond, la base de connexion et de routage correspond toujours à la gamme de firewall ASA qui sont parmi les plus répandus dans le monde et la technologie d’analyse applicative utilisée est celle de Sourcefire. Précisément l’offre va s’effectuer sur la série Cisco ASA 5500. Cette  évolution passe par deux logiciels : l’outils de prévention (Next-Generation Intrusion Prevention System) et l’outil de protection des malwares, l’Advanced Malware Protection (AMP) de Sourcefire, l’ensemble étant renommé Firepower. L’outil est conçu pour identifier les attaques potentielles à la volée et exécuter de façon autonome des contre-mesures pour les empêcher, sans affecter l’exploitation. Selon Cisco, jusque-là, les firewalls étaient concentrés sur la politique de sécurité et le contrôle des applications, et ne permettaient pas de faire face aux menaces ciblées et aux attaques zero-day. Pour Cyril Badeau les Firewall Cisco ASA avec la technologie Firepower changent la donne, avec une approche axée sur la visibilité, centrée sur la menace et basée sur une plateforme unique.

 

une génération de firewalls axés sur la visibilité

 

Cisco ASA 5585-X with FirePOWER Services_1Dirigée par l’ancien patron de Sourcefire, Martin Roesch, la nouvelle « business Unit » sécurité de Cisco va intégrer une approche processus, autour de chaque métier afin d ‘établir des analyses avant, pendant et après l’attaque. « Avec l’arrivée des objets connectés, le nombre de paramètres à vérifier va croître de manière exponentielle » précise Cyril Badeau. Selon la firme Il faudra que les moteurs d’analyse soient ouverts aux développeurs et s’adaptent aux applications. Il faut aussi mesurer l’exposition aux attaques zero-day et aux menaces persistantes. Les analyses des données (Big Data), l’analyse en continu et Cisco Collective Security Intelligence (CSI) seront combinées pour effectuer les différentes opérations. Il s’agit de la détection, du blocage, du suivi, d’analyse et de remise en état du réseau. « L’objectif est de se protéger contre le spectre complet des attaques, connues et inconnues. On va fournir des outils d’administration pour évoluer vers l’analyse de risques et travailler en amont avec nos clients sur des projets. L’objectif est d’intégrer la sécurité dés le départ » ajoute le directeur de la division sécurité. Interrogé sur l’intégration de ces nouveaux logiciels avec l’arrivée de la virtualisation des réseaux et des applications conçues pour travailler en réseaux avec le contrôleur EPIC, Cyril Badeau expliquait que la compatibilité et l’intégration étaient en cours mais que pour l’instant l’objectif avait été de renforcer l’existant. Vu la centaine d’équipements déjà installés à fin août et le nombre encore limité d’utilisateurs de SDN, on comprend que Cisco ait visé en priorité le marché des millions de firewalls ASA déjà déployés.