Accueil Sourcefire : repérer les APT

Sourcefire : repérer les APT

Sommaire du dossier

Depuis mi-novembre, l’éditeur a réalisé une nouvelle version de la partie logicielle de son appliance FirePower qui passe en 5.1.1 et s’attaque désormais aux APT. L’objectif n’est pas d’arrêter absolument et automatiquement de telles attaques car elles sont spécifiquement étudiées pour passer dans le trafic licite, mais de les repérer en amont. Ce sont des attaques qui ne font qu’observer, en étant présentes sur le réseau et ce, jusqu’à ce que le pirate connaisse très bien le réseau ciblé et puisse passer à l’attaque en elle-même. Ces attaques sont particulièrement étudiées pour passer “sous le radar” de la défense de l’entreprise. L’idée ici est donc de gérer les évènements de sécurité qui permettront de découvrir de telles attaques. Par l’intermédiaire de ses produits, l’éditeur est à l’écoute des signaux dits faibles, car pour lui, c’est l’unique façon de détecter une attaque ciblée. Ainsi toutes les informations en provenance d’un IPS (Intrusion Prevention System) ou d’un IDS (Intrusion Detection System), outils qui ont leur propre utilité, doivent être exploitées. Pour Sourcefire, les écoutes de signaux faibles sont le niveau 3 de la sécurité, sachant que dans leur classement, le niveau 1 correspondrait aux protections périmétriques comme le Next Generation Firewall et le niveau 2 aux IPS et IDS. C’est également envisager, et donc la prise de conscience, qu’il y a peut-être déjà quelqu’un à l’intérieur. Première étape chez Sourcefire, détecter le réseau via FireSight (adresse MAC et IP, OS et version, services qui tournent, flux, applications véhiculées, types de fichiers véhiculés). Puis est réalisé un calcul du niveau d’exposition au sens des vulnérabilités potentielles attachées et l’on obtient (de façon passive) une cartographie du réseau à protéger. Suit, pour chaque segment du réseau examiné, la préconisation d’une politique IPS adaptée. Enfin, à chaque évènement qui sera détecté, un calcul d’impact (en tenant compte de toutes les données sécurité remontées de toutes les sondes) dans le segment réseau sera calculé et une nouvelle politique IPS est proposée en conséquence.