Prévention d’intrusion

Les usages sur Internet ont évolué. Auparavant limité à l’échange de données multimédia, le web intègre maintenant de réels flux applicatifs et de nombreux contenus interactifs. Les informations échangées sont de plus en plus complexes. Bloquer le trafic interdit (Firewall) n’est donc plus suffisant. Pour protéger l’entreprise efficacement, il est impératif d’inspecter le trafic autorisé (IPS).

Introduction

Les attaques utilisent majoritairement des pages web ou des services autorisés tels que l’e-mail, la messagerie instantanée ou la téléphonie sur IP. Chacune de ces applications possède son langage de communication (protocole). Il faut donc l’analyser pour bloquer les attaques sans impacter la vie de l’entreprise.

La performance de l’inspection et la qualité de détection sont les points clés de l’évaluation d’une technologie de prévention d’intrusion (« Intrusion Prevention System » ou IPS). Pour atteindre une efficacité optimale, l’IPS doit bénéficier de synergies avec d’autres technologies. L’intégration d’un IPS avec un Firewall applicatif, la reconnaissance des utilisateurs ou l’audit de vulnérabilité en améliore la pertinence.

Un système IPS est donc au cœur d’un pare-feu multifonction aux points de segmentation du réseau, ou en mode transparent sans modifier l’infrastructure existante.

La solution

L’IPS NETASQ est le fruit de plus de 10 ans de recherche. Il combine plusieurs technologies d’analyses protocolaires et comportementales afin de détecter et de bloquer la majorité des attaques avant leur publication (protections « zero-day »). Les équipes de veille sécurité NETASQ ajoutent quotidiennement de nombreuses signatures de protections, qui sont mises à jour automatiquement sur tous les IPS NETASQ.

Pour chaque nouvelle faille, la technologie de protection utilisée par NETASQ est choisie en fonction de son efficacité (qualité de la détection), de sa capacité à anticiper de futures attaques, mais également pour éviter tout risque de fausse alerte.

Puisqu’il a été développé directement dans le système d’exploitation NETASQ, le moteur IPS analyse en temps réel les différents flux, sans coupure (proxy), ni copie de données ou échanges entre système d’exploitation et logiciel de détection. Cette architecture, taillée pour la performance est particulièrement efficace à très haut débit ou lorsque l’absence de latence est cruciale (VoIP par exemple).

Combiné à l’analyse de vulnérabilité et au Firewall applicatif, l’IPS NETASQ offre un niveau de sécurité inégalé et protège contre plusieurs dizaines de milliers d’attaques.

Bénéfices

Une protection « zero day » garantit l’absence de période vulnérable pour l’entreprise. Chaque protection « zero day » vise un comportement anormal et remplace de nombreuses signatures qui détectent une attaque précise.

Le besoin

Dans la course à la sécurité informatique, l’attaque a souvent un temps d’avance sur la défense. Les signatures de protection sont créées et déployées le plus rapidement possible après l’apparition d’une menace. Cette approche est bien plus efficace que l’attente d’un correctif qui peut prendre plusieurs jours, voire plusieurs semaines.

Toutefois, même si la durée de vulnérabilité de l’entreprise est très courte, elle existe. De plus, certaines attaques se répandent avant toute communication officielle. Elles sont appelées failles « zero day », car elles ont été exploitées avant d’être communiquées à l’éditeur ou au public.

Les responsables de la sécurité du système d’information sont donc en permanence à la recherche de protections « zero day » efficaces contre les failles du même nom.

La solution

L’architecture du moteur de prévention d’intrusion NETASQ est conçue pour maximiser le nombre de protections “zero day”. Ces protections s’articulent autour de différentes technologies complémentaires :

  • L’inspection des protocoles
  • La détection de comportements anormaux
  • La création proactive de signatures de protection

Ces 3 analyses ne nécessitent pas d’attendre l’apparition d’une vulnérabilité pour être efficaces. L’inspection des protocoles est la pierre angulaire des protections « zero day » NETASQ. Les équipes chargées de la veille sécurité pour NETASQ ajoutent en permanence de nouvelles inspections pour les différents protocoles afin d’anticiper les attaques à venir. Par exemple, l’inspection de SIP, protocole de voix sur IP, intègre déjà de nombreuses protections contre l’usurpation d’identité ou les dénis de services. Ces analyses sont déjà efficaces et activées sur les Firewalls NETASQ. Elles protègent contre des vulnérabilités applicatives à venir.

PROTECTION DE TOUS LES CANAUX DE COMMUNICATION

Les communications de téléphonie IP sont mises en œuvre au moyen de 2 canaux : le canal de contrôle et le canal de données. Les Firewalls NETASQ offrent une protection simultanée pour ces 2 canaux et assurent la gestion automatique des ports de communication pour l’acheminement des données temps réel.

Le besoin

Les systèmes de téléphonie IP ont récemment connu un essor significatif. Favorisé par une maturité de la technologie et par une réduction des coûts, ce développement est également lié à la convergence des données du système de téléphonie avec les données du système d’information.
Ceci conduit à une double interaction

  • Le système téléphonique peut exploiter les données du système d’informations afin d’optimiser les ressources.
  • Le système d’information peut traiter les données téléphoniques afin d’assurer une maîtrise de la téléphonie et l’exploitation des données associées.

L’essor de la téléphonie sur IP et de la convergence des données s’accompagne d’une augmentation de l’exploitation des failles associées à ces technologies.

La solution

Depuis sa création NETASQ propose des solutions de protection réseaux qui permettent de sécuriser les actifs de ses clients. Dans la cadre de ses recherches sur la protection des systèmes de téléphonie IP et de convergence voix-données, NETASQ offre une solution qui répond au principal frein de déploiement d’un projet de communication unifiée : assurer la sécurité du système de téléphonie IP tout en se conformant aux exigences temps réel.

Les solutions de sécurité NETASQ proposent une protection “zero-day” contre les principales attaques ciblant les systèmes de communication unifiée :

  • Déni de service applicatif et protocolaire classiquement exploité sur les réseaux IP ou exploitant spécifiquement les failles des protocoles de voix sur IP
  • Accès aux données échangées par usurpation d’identité (détournement de requêtes d’enregistrement) ou enregistrement de conversations téléphoniques
  • Vol de données confidentielles par injection de requête SQL

La performance d’un système temps réel de téléphonie IP

NETASQ apporte une vigilance toute particulière à ce que la sécurité ne nuise pas aux performances. C’est la raison pour laquelle le moteur de prévention d’intrusion est activé dans sa configuration en sortie d’usine. De plus, la gestion et la configuration des paramètres de qualité de service offrent une réponse aux problématiques que sont la latence et la gigue réseau.

Les failles de la téléphonie

Les vulnérabilités des équipements du système de téléphonie IP constituent également des failles de sécurité. Leur exploitation peut aboutir à des dénis de service, de l’exécution de code à distance ou encore de la récupération d’informations sensibles.
NETASQ inclut dans ses solutions un service de gestion de risques (NETASQ Vulnerability Manager). Ceci permet de détecter les vulnérabilités présentes sur tous les composants actifs d’un système d’information. Ce service propose un ensemble de facilités telles que : rapports spécifiques, recherche d’équipements vulnérables et suggestion de correctifs. Une procédure efficace peut alors être mise en place pour gérer le niveau de risques des vulnérabilités d’un système de téléphonie IP.