Corréler les événements afin de détecter les attaques chez Juniper Networks
Juniper Networks propose une famille d'appliance STRM afin d'effectuer la corrélation des événements captés par les différents équipements du réseau. Il s'agit de détecter des attaques qui ne peuvent pas l'être par des dispositifs standards.
Juniper Networks lance une solution tout en un qui transforme l'analyse des journaux d'événements (« logs ») des équipements (commutateurs, routeurs, pare-feux, serveurs, PC, ...) du réseau en alertes sur des incidents de sécurité. Il s'agit d'une famille d'appliance baptisée Security Threat Response Manager (STRM) qui s'appuie sur les données issues des équipements de sécurité, les applications et les plates-formes de gestion d'identités, afin de définir en temps réel une vue de la sécurité du réseau. Le produit s'interface ainsi avec les matériels de 70 constructeurs. Il intègre une détection des anomalies de comportement du réseau (NBA pour Network Behavior Analysis et NBAD pour Network Behavior Anomaly Detection), en comparant les flux avec l'historique, ce qui permet de détecter des incidents qui ne peuvent l'être à partir de signatures. Existe en trois tailles L'équipement effectue une hiérarchie des attaques selon une politique de sécurité prédéfinie ou taillée sur mesure. L'équipement inclut des modèles de présentation de rapports de sécurité dans le cadre de règlementations telles que HIPAA, SOX ou PCI. L'appliance existe en trois modèles : STRM500, qui prend en charge 500 événements par seconde à partir de 15 000 dollars, et qui contient deux disques de 500 Go en RAID 1 ; STRM2500, qui traite 2500 événements par seconde à partir de 37 000 dollars, et qui contient six disques de 250 Go en RAID 5 ; STRM5000 qui peut manipuler plus de 5 000 événements par seconde. Les deux premières appliances sont disponibles dès maintenant, et la troisième sera disponible au second semestre de 2008. Détecter c'est bien, stopper l'attaque c'est mieux Actuellement, l'appliance n'effectue pas automatiquement d'action correctrice sur le paramétrage des équipements de sécurité afin de bloquer l'attaque détectée. L'outil propose des actions à l'administrateur du réseau afin de gérer les pare-feux, les UTM, les IPS ou les passerelles SSL via la plate-forme NSM (Netscreen security manager) de Juniper Networks. L'analyse du comportement du réseau (Network Behavior Analysis) est une catégorie de produits vouée à un bel avenir selon les cabinets d'analystes. Un des produits phares en la matière est Peakflow d'Arbor Networks. Photo : l'appliance STRM 2500 de Juniper Networks
