Protection des points d'accès : la prochaine génération a encore des défis à surmonter
La prochaine génération de solution de protection des points d'accès est en train de pointer le bout de son nez. Et s'il reste des obstacles à franchir, elle pourrait bien sonner le glas des traditionnels anti-virus.
Plutôt que de chercher les signatures de virus déjà connus comme le font les solutions traditionnelles d'anti-virus, la prochaine génération de système de protection des points d'accès se baserons sur l'analyse des processus, des connexions et du trafic pour mieux détecter les comportements suspects. Cette approche devrait permettre de mieux anticiper l'exploitation des failles zero-days mais des questions demeures. Par exemple, la connaissance de ce que fait chaque terminal peut-elle être acquise sans utiliser de client logiciel sur chaque point d'accès. Les entreprises vont devoir choisir entre deux types de solutions. La première est dépourvue d'agent logiciel aux extrémités du réseau et n'apporte qu'un volume d'informations limité. Mais si la seconde permet une collecte massive des données sur les menaces, les entreprises qui l'auront choisie devront assurer le déploiement, la gestion et la mise à jour de l'ensemble des agents installés sur les points d'accès.
Sur le même sujetCisco va investir 1 milliard de dollars en 5 ans en UK, 10 fois plus qu'en FranceSilver Peak lance une stratégie de « killer MPLS »
Vient alors la question de la méthode à utiliser pour démêler les indices susceptibles de traduire une intrusion du reste des données arrivant en flux continu, sans être submergé par ces dernières. Une fois les attaques détectées, les entreprises auront encore à trouver la marche à suivre pour les endiguer le plus rapidement possible. Les fournisseurs sont bien évidemment en train de bucher sur ces problèmes, qu'il s'agisse de spécialistes de la sécurité comme Fire Eye, ForeScout, Guidance Software et Trend Micro, de firmes plus généralistes à l'instar de Cisco et EMC, ou encore de structures entièrement focalisées sur la sécurité des points d'accès tel que Cylance ou Light Cyber. Autrement dit, le secteur est déjà fortement concurrentiel.
Avec agent...
La valeur d'une solution de protection des points d'accès se mesure à sa capacité de détection des attaques spécifiques, et une fois cette étape réalisée, à les arrêter. Pour ce faire, les fournisseurs récoltent l'ensemble des informations sur les communications qui circulent par les point d'accès et les autres éléments du réseau, mais également les modifications réalisées sur ces mêmes terminaux. Elles peuvent traduire une menace. La base de données créée à partir de cette moisson devient un outil de pointe pour la l'investigation autour des attaques. Elle permet notamment de réaliser une cartographie complète de ces dernières, de comprendre comment elles se sont propagées dans le réseau et de savoir précisément quelles sont les éléments touchés.
Mais la question de la solution elle-même fait encore débat, notamment sur la question de l'usage d'agent. La principale aversion à leur encontre vient du fait qu'ils représentent une solution logicielle supplémentaire à déployer, gérer et mettre à jour. Dans le cadre des systèmes de prochaine génération, ils permettront toutefois de récolter de nombreux types d'informations, encore jamais utilisés pour la protection des points d'accès. Mais cela peut être aussi bien un avantage qu'un inconvénient. En effet, les agents logiciels vont faire remonter tellement d'informations que la détection des attaques dans le bruit de fond pourrait devenir un vrai casse tête. Pour l'analyste du Gartner, Lawrence Pingree, il faudra les soutenir avec un moteur d'analyse capable de gérer d'énormes volumes de données en continu. En outre la quantité et la variété des données dépendra grandement du type et de la fonction du point d'accès sur lequel l'agent sera installé.
... ou sans agent
De l'autre côté, une solution dépourvue d'agents logiciels installés sur tous les point d'accès n'apportera pas pour autant des données sans aucune valeur. Par le biais des switch, des routeurs et des plateformes de management comme Windows Management Instrumentation, elle sera tout à fait capable d'indiquer précisément ce qui se passe sur chaque machine ainsi que l'identité de leurs utilisateurs à un moment donné. En outre, les analyses seront en mesure de montrer si les terminaux créent des connexions suspectes vers l'extérieur ou révéler si les attaquants effectuent des mouvements latéraux afin de prendre possession d'autres machines. L'usage d'agents induit une console de management supplémentaire, donc plus de complexité et potentiellement des coûts plus élevés, explique Randy Abrams, directeur de recherche pour NSS Labs qui planche justement sur une nouvelle génération de plateforme de sécurisation des points d'accès. D'après son collègue Rob Ayou, également directeur de recherches pour NSS Labs, c'est aussi une question de compatibilité. « Comment pourrions-nous être sûres que deux agents de MacAffe et Bromium vont travailler ensembles et assurer les taches qui leurs sont confiées », lance-t-il.
La sécurité de l'administration et du management de ces plateformes est aussi un sujet à étudier, estime Lawrence Pingree, surtout pour limiter les menaces venant de l'intérieur. Les entreprises devront se tourner vers des plateformes qui prennent en compte des modules de gestion des droits et des accès. Ce serait très utile par exemple, pour limiter l'accès aux administrateurs quand les ingénieurs chargés de réparer les dégâts causés par une attaque interviennent, estime l'analyste du Gartner.
L'analyse reste primordiale mais compliquée
L'analyse est évidemment essentielle mais reste complexe, à tel point qu'elle devrait parfois relever d'un service dédié, comme celui fourni par Red Canary. Plutôt que de récolter les données directement issues de ses propres agents, la firme s'appuie sur des capteurs de Bit9+CarbonBlack. Red Cannary enrichit les données récoltées avec celles issues d'autres firmes spécialisées dans la sécurité et peut ainsi lancer des analyses plus poussées et faciliter la détection des intrusions repérées sur les réseaux de ses clients. Les alertes automatiques du moteur d'analyse pouvant parfois être erronées, des analystes vérifient ces dernières pour s'assurer de leur véracité. Cette aide permet aux RSSI des clients de Red Canary de ne pas êtres submergés sous le nombre d'alertes.
La start-up Barkly déclare, de son côté, être en train de travailler sur un agent qui analyse localement l'activité de chaque point d'accès et peut bloquer automatiquement toute activité suspecte. Il informe au passage les administrateurs sur ses agissements. Ce genre de système d'analyse doit toutefois être relié à des sources plus larges pour mieux caractériser les attaques à partir de leur déroulement, estime Randy Abrams. La plupart des connaissances amassées sur les outils de détection et de réponse aux attaques sur les points d'accès viennent des gens qui les utilisent et qui acceptent de communiquer sur ce qu'ils font. Les entreprises doivent donc tester ces solutions pour déterminer leurs caractéristiques essentielles ainsi que leur efficacité avant de les acheter. Pour Lawrence Pingree, c'est le mauvais côté des technologies émergentes. « Elles n'ont pas encore fait l'objet de phases de tests à grande échelle », déclare-t-il.
Vers un portefeuille trop garni
Pour autant, ces outils de détection apportent non seulement des grandes quantité de données qui peuvent servir à bloquer les attaques, mais aussi à mener des investigations poussées sur la façon dont les intrusions se déroulent et dire à partir de quel moment, elles deviennent vraiment exploitables. Cela peut aider à déterminer quels sont les terminaux qui ont besoin d'être mis à jour et quels fournisseurs doivent automatiser ces processus à grande échelle en cas de faille. Par exemple, Triumfant apporte une solution baptisé Resolution Manager qui peut restaurer des points d'accès dès la détection d'une attaque. D'autres fournisseurs possèdent également des solutions de nettoyage ou assurent travailler dessus mais la tendance s'oriente plutôt vers l'usage d'une plateforme unique pour la résolution de l'ensemble des problèmes.
Le principal souci auquel les entreprises sont confrontées c'est que les points d'accès restent vulnérables malgré tous leurs efforts faits sur les solutions traditionnelles, qui ont d'ailleurs évolué vers des suites complètes, regroupant anti-virus, anti-malware, outils de détection des intrusions, de prévention, etc. Pendant qu'elles travaillent progressivement à la résolution de celui-ci, un autre a commencé à pointer le bout de son nez. « Jusqu'à maintenant, ils n'ont fait qu'ajouter des produits à leur portefeuille d'offres de protection des points d'accès pour nous faire croire que la boucle était bouclée », clame Larry Whiteside, RSSI de la Lower Colorado River Authority. « Heureusement, l'augmentation des capacités mémoire et de la vitesse des systèmes de stockage (flash) ont permis d'éviter que cette démarche ne plombe les performances des points d'accès », se rassure-t-il.
La mort de l'anti-virus
En conséquence, il avoue garder un oeil attentif sur la prochaine génération de solutions de protection des points d'accès et notamment celles de SentinelOne. Il estime que la sécurité basée sur l'activité directe du point d'accès plutôt que sur des bases de données répertoriant les attaques déjà connues et les comportements à risques est une avancée majeure. « Je ne dis pas que l'analyse des signatures est complètement mauvaise mais en faire le seul facteur de décision est déplacé. Baser aussi la détection sur le comportement apporte de la valeur », déclare Larry Whiteside. Mais arrive évidemment la question du retour sur investissement. « La vérité, c'est que je suis bien plus focalisé sur la détection que sur le ROI, je ne peux donc pas trop mesurer ce dernier. Tout ce que je sais, c'est que l'arrivée d'une nouvelle génération peut être bénéfique », tranche Larry Whiteside.
Jusqu'à présent, les fournisseurs qui travaillent sur cette génération de solutions se sont abstenus de crier sur les toits qu'elles pourraient remplacer les traditionnels ainti-virus, malgré des résultats impressionnants. Mais cela pourrait bien changer. « D'ici un an, les réglementations auxquelles nous faisons face aux États-Unis vont disparaître », clame George Kurtz, CEO de CrowdStrike. Le retrait des règles qui obligent l'installation d'anti-virus pour passer les tests de conformité mis en place par l'administration américaine va doper l'attrait pour la dernière génération de solutions de protection des points d'accès. « C'est vraiment notre but. Depuis le début, nous savions que nous pouvions le faire », déclare George Kurtz. Il estime, en outre, que tout le monde se concentre sur les malwares alors qu'ils ne représentent que 40% des attaques. En attendant que la réglementation soit réécrite les entreprises réglementées doivent toutefois continuer à utiliser les solutions d'anti-virus, même si des fournisseurs proposent déjà des systèmes alternatifs. « Il est actuellement plus important d'être en accord avec les autorités que d'avoir des solutions de sécurités qui protègent mieux », note Randy Abrams.