Le spécialiste de la sécurité Sophos annonce une nouvelle architecture pour ses firewall XG baptisée XStream. Cette technologie offre des capacités élevées, et rapides, de déchiffrement de la couche TLS. Sophos ajoute également des fonctions d’analyse des menaces améliorées, basées sur de l’Intelligence Artificielle et développées par SophosLabs.

Justement, le laboratoire du constructeur propose sur le site web de l’entreprise un billet explicitement intitulé « Près d’un quart des malwares communiquent désormais en TLS ». L’article, en anglais, indique que 23% des logiciels malveillants communiquent avec « leur » serveur via HTTPS/TLS et que dans 44% des cas étudiés les données exfiltrées de l’entreprise vers les criminels le sont de façon chiffrées. Méthode qui vaut également lors de l’installation de l’hôte indésirable, et qui est assez souvent couplée avec d’autres techniques de dissimulation, rendant encore plus délicate la détection et l’interprétation des trames, sans logiciels très spécialisés. Différents exemples sont présentés pour les malwares les plus courants. L’article se termine en concluant que si TLS n’est pas prêt de disparaître des réseaux d’entreprises, celles-ci ont tout intérêt à se doter d’outils ad hoc (donc comme les nouveaux firewalls XStream) si elles veulent conserver un niveau de sécurité élevé.

La nouvelle génération XStream se démarque ainsi par une inspection TLS 1.3 pour détecter les malwares cachés, par des performances SD-WAN optimales grâce au système FastPath, par une analyse adaptative du trafic, par une analyse des menaces grâce à l’IA et aux SophosLabs, par une gestion et une génération de rapports globaux dans la console SaaS « Sophos Central », et par une intégration avec le service Sophos Managed Threat Response (MTR).

« Comme le montre l’étude menée par les SophosLabs, les cybercriminels utilisent en priorité le chiffrement pour contourner les solutions de sécurité. Malheureusement, la plupart des pare-feux ne disposent pas de capacités cryptographiques TLS évolutives et ne sont pas donc en mesure d’inspecter le trafic chiffré sans que les applications ne bloquent le réseau ou ne dégradent ses performances », constate Dan Schiappa, Chief Product Officer chez Sophos. « Avec la nouvelle architecture Xstream intégrée dans le Sophos XG Firewall, Sophos offre une visibilité cruciale du trafic chiffré tout en éliminant les problèmes frustrants de latence et de compatibilité, et ce avec une prise en charge complète de la dernière norme TLS 1.3 ».

Sophos rappelle également que si 82 % des responsables informatiques ont admis qu’une inspection TLS était aujourd’hui nécessaire, seulement 3,5 % des entreprises déchiffrent effectivement leur trafic afin de l’inspecter correctement.La latence dissuade trop souvent les administrateurs IT d’utiliser un tel déchiffrement.