Surveillance continue pour le nouveau paysage informatique 25 juillet (Révision 1)

Transcription

1 LIVRE DATA BLANC SHEET Surveillance continue pour le nouveau paysage informatique 25 juillet 2014 (Révision 1)

2 Sommaire Introduction 3 Le nouveau paysage informatique 3 Failles du nouveau paysage informatique 4 Solution de surveillance continue de Tenable 5 Capteurs et outils d analyse exclusifs 6 Intégration étroite aux systèmes de sécurité existants 6 Évolutivité pour le réseau du futur 7 Ouverture technologique inégalée 7 Tranquillité d esprit 8 Conclusion 8 À propos de Tenable Network Security 8 2

3 Introduction Les attaques récentes ont ciblé une lacune fatale dans la manière dont les organisations ont abordé la sécurité au cours des deux dernières décennies. Alors que l accent a été mis sur l investissement dans différentes technologies de sécurité préventive (authentification centralisée, protection antivirus des postes de travail, correction automatisée, pare-feu de nouvelle génération, sandbox pour malware zero-day et gestion des événements de sécurité), les hackers exploitent les zones d ombre qui se sont élargies avec l évolution du paysage informatique. Les attaques récentes n ont pas été engendrées par des failles inconnues dans les technologies défensives. Elles résultent de lacunes de couverture, dues au fait que ces technologies sont inadaptées aux politiques de sécurité ou aux pratiques métiers. Par exemple : En 2011, lorsque le terme APT est apparu pour la première fois dans les médias, la plupart des organisations victimes ne possédaient pas un déploiement intégral d agents antivirus sur leurs postes de travail. La faille informatique chez Target, résultant de connexions réseau inappropriées entre les systèmes de climatisation de l entreprise et ceux de cartes de crédit, n a pas été décelée même après des années de conformité aux normes de sécurité des données PCI (Payment Card Industry). Les organisations ont eu du mal à corriger efficacement la vulnérabilité HeartBleed car les programmes de gestion des vulnérabilités étaient axés sur l application de correctifs aux systèmes d exploitation sans perspective applicative englobant les failles d infrastructure. En 2014, Code Spaces a perdu contrôle de toute son infrastructure Amazon Web Services suite à des attaques hostiles. Dans chacun de ces cas, des technologies défensives étaient en place, mais elles n étaient pas adaptées aux fonctions de base du réseau à protéger. Investir uniquement dans des produits de sécurité defensive ne vous protège pas. La sécurité implique de déployer ces produits dans le cadre d une stratégie de sécurité complète, conçue pour minimiser le risque. Heureusement, le concept de surveillance continue, défini par NIST comme le maintien d un suivi permanent de la sécurité informatique, des vulnérabilités et des menaces pour la prise de décisions en termes de gestion des risques organisationnels, permet cette adéquation. Une solution de surveillance continue exploite l automatisation pour garantir la parfaite coordination de tous les dispositifs de sécurité. Il s agit notamment d effectuer une évaluation de toutes les défenses de sécurité en temps réel (par exemple, systèmes antivirus et de détection d intrusion) ainsi que des processus ponctuels, comme la gestion des correctifs. Tenable Network Security a réalisé depuis longtemps que des tests automatisés continus des défenses d un réseau par rapport aux politiques de sécurité constituent le meilleur moyen de contrôler l état et l intégrité du réseau. Nous avons rédigé notre premier rapport sur le sujet du contrôle de conformité en temps réel en En outre, nous avons constaté que pour exécuter ce type de supervision de manière globale, en intégrant les utilisateurs nomades et les applications cloud, il faut de nouvelles formes de technologies. Au cours de la dernière décennie, Tenable a investi pour créer de nouveaux types de capteurs qui permettent l exploration automatique et l évaluation de sécurité des réseaux englobant les systèmes informatiques classiques, les usages mobiles, les réseaux virtuels et les applications cloud. Nous avons également innové dans l art de traiter ces données et d exploiter une analyse Big Data pour informer automatiquement sur la conformité du réseau aux politiques de sécurité. Le nouveau paysage informatique Avant d aborder les détails d une solution de surveillance continue, il est essentiel de reconnaître que le concept du réseau a beaucoup évolué dans la dernière décennie. Les utilisateurs nomades, les machines virtuelles et les applications cloud sont à présent indissociables de l infrastructure IT. La stratégie de sécurité réseau moderne a évolué vers le placement de données dans divers «silos», puis la limitation de l accès aux silos à certains utilisateurs en ayant besoin. Un silo est régi par une application ou un service unique. Par exemple, un département Ressources humaines stocke ses données dans des applications utilisées localement comme Oracle PeopleSoft ou des services en line de type ADP. Des silos de données peuvent résider sur le matériel local traditionnel, dans une infrastructure tierce comme Amazon AWS ou RackSpace ou entièrement dans une application cloud, telle que SalesForce. Microsoft Exchange est un bon exemple de ce type de service. Vous pouvez exécuter MS Exchange en local sur votre réseau, dans une infrastructure tierce ou utiliser un service de messagerie Exchange directement via la suite Microsoft Office365. Il faut considérer trois niveaux différents de silos de données pour la surveillance continue : Application sous forme de service (AaaS) SalesForce, ADP, Office365 Infrastructure sous forme de service (IaaS) Amazon, RackSpace Applications locales Applications physiques ou virtualisées Les utilisateurs réseau se divisent en deux catégories : sur site et internes au réseau traditionnel ou externes au réseau. 3

4 Tenable reconnaît que les utilisateurs peuvent choisir des postes de travail classiques ou des appareils mobiles. En outre, de nombreuses organisations autorisent leurs utilisateurs à accéder à des applications personnelles comme Dropbox, Facebook et LinkedIn. Il faut surveiller, auditer et sécuriser en continu l accès de chaque utilisateur aux divers silos de données de l organisation, quelle que soit la technologie utilisée. Le diagramme qui suit illustre les relations entre ces divers types d utilisateurs et de silos. Applications sous forme de service Utilisateurs distants/nomades Infrastructure sous forme de service Employés de bureau Applications locales classiques Ce modèle répond aux lacunes ou failles de la stratégie de sécurité. Et il fonctionne. Selon une étude de Forrester Research en 2014 parrainée par Tenable, les organisations ayant déployé une surveillance continue sont deux fois plus susceptibles d être satisfaites de leur stratégie de gestion des vulnérabilités que celles utilisant l analyse périodique. Tenable a coopéré avec de nombreuses organisations souhaitant élargir leurs systèmes de gestion périodique des vulnérabilités à la surveillance continue. Un examen du modèle a démontré à ces organisations qu il existait de vastes domaines de leur réseau dont elles n envisageaient pas la surveillance faute d appréhender leur flux de données réel. Ce modèle s avère également précieux pour prioriser les utilisateurs selon les applications qu ils utilisent. Par exemple, concernant la récente faille zero-day d Internet Explorer, les organisations ignoraient quels utilisateurs accédaient aux différents silos ou ceux connectés à des applications Web de manière régulière, et donc ne pouvaient pas prioriser les systèmes à corriger en premier. Failles du nouveau paysage informatique Les entreprises adoptant le nouveau paysage informatique, elles peuvent constater les gains d efficacité d une organisation dynamique et agile. Toutefois, elles créent aussi des lacunes de visibilité et de sécurité qui les laissent à la merci des vulnérabilités, exploits et atteintes à la sécurité. Nous pouvons préciser les faiblesses en analysant le modèle illustré ci-dessous. Les utilisateurs en télétravail et nomades interagissant avec ses ressources engendrent divers risques pour l entreprise, qu ils utilisent des applications et des données centrales sur site, des ressources déployées dans des infrastructures IaaS tierces ou des solutions cloud développées et déployées totalement par des tiers. De même, les employés de bureau présents dans les locaux de l entreprise utilisent des ressources locales en plus des applications développées en interne, mais déployées sur des plates-formes IaaS, et des applications cloud. Bien qu il existe des différences dans les failles de sécurité pour chaque scénario, le problème majeur réside dans le défaut de couverture de sécurité, et donc le manque de visibilité. Les employés de bureau accédant aux applications locales font face aux problèmes des s de phishing, des botnets, des malware déjà présents sur les périphériques, des abus de droits et des versions obsolètes d antivirus, de correctifs et de logiciels. Ces risques découlent des silos déjà mentionnés. Toutefois, dans le cas le plus simple, personne ne surveille ou n évalue les différents logiciels de sécurité déployés dans l entreprise. Les utilisateurs nomades accédant à des ressources et applications locales courent aussi un risque mais, outre les menaces indiquées, il faut aussi les surveiller pour une authentification et une communication de bout en bout sécurisées lors de l accès aux ressources. Les utilisateurs distants et nomades risquent également un piratage Wi-Fi, des attaques d interception et des malware mobiles. 4

5 Les différents types d utilisateurs peuvent avoir à exécuter des progiciels ou applications personnalisées qui sont déployés dans des environnements IaaS. MS Exchange ou l application personnalisée propre à l organisation, par exemple, est exécutable dans un environnement hébergé comme RackSpace ou AWS. Ce scénario expose les utilisateurs aux failles susmentionnées pour les applications locales, mais crée également d autres risques liés à l environnement hébergé. Les fournisseurs IaaS configurent en général la plate-forme pour déployer l application de l entreprise, mais avec peu d informations ou d accès pour surveiller l infrastructure sous-jacente. En outre, l entreprise court un risque si les environnements voisins dans le datacenter du fournisseur IaaS sont infectés et finissent par impacter les applications et les utilisateurs de l entreprise. Dans ce cas, les fonctions d évaluation et de surveillance doivent s étendre pour englober les applications et les utilisateurs connus, ainsi que les environnements voisins et les échanges réseau en général inconnus. Les applications cloud se banalisent dans les environnements d entreprise. En fait, l adoption d infrastructures cloud et d applications SaaS est déjà exponentielle et, comme le montre le graphique qui suit, nous allons continuer à observer une forte croissance dans les prochaines années. Cette évolution engendre un manque de visibilité majeur pour les utilisateurs à domicile, nomades et au bureau. L application est entièrement hébergée sur des serveurs tiers, mais elle est également conçue en tant qu environnement totalement hermétique, sans interaction ni suivi avec la DSI ou les systèmes de sécurité de l entreprise. L application cloud est souvent en fait configurée pour un contrôle des performances et de la sécurité, mais seuls les points les plus basiques comme le temps de disponibilité et d autres indicateurs relatifs aux SLA sont communiqués aux clients. Dans ce scénario, les équipes du client en charge de l informatique et de la sécurité ne peuvent obtenir une visibilité et une surveillance qu en accédant à des API étroitement intégrées ou d autres moyens d accès aux données/intégration que le fournisseur cloud choisit d activer. Les entreprises tentent de fonctionner avec plus d agilité et d efficacité, en donnant accès aux télétravailleurs à des ressources habituellement déployées sur site et accessibles au bureau. Elles doivent s assurer que les nouveaux outils informatiques qu elles adoptent ne nuisent pas à leur sécurité. Choisir une vraie solution de surveillance continue est le seul moyen d améliorer l efficacité métier et de réduire les coûts sans nuire à la sécurité de l entreprise. Solution de surveillance continue de Tenable La surveillance réseau continue est le processus qu une organisation utilise pour automatiser la mesure du risque dans l ensemble de son réseau. Le processus détecte, évalue et signale en permanence l état de chaque composant du réseau par rapport aux politiques de sécurité. 5

6 Tenable offre des solutions de surveillance réseau continue pour identifier les vulnérabilités, réduire les risques et assurer la conformité. Notre gamme de produits comprend SecurityCenter Continuous View et Nessus. SecurityCenter Continuous View (CV) permet la supervision la plus complète et intégrée de l état du réseau. Nessus est la référence mondiale en termes de détection et d évaluation des données réseau. SecurityCenter CV peut contrôler l activité et identifier le risque dans chacun des cinq domaines du nouveau paysage informatique. En outre, il peut suivre les dépendances entre eux, ce qui permet de connaître les utilisateurs, les silos de données et les applications utilisés. Capteurs et outils d analyse exclusifs Tenable offre une alliance exclusive de détection, de reporting et d identification de profil exploitant les algorithmes et modèles les plus avancés. Les capteurs englobent les détecteurs de vulnérabilités, les agents système, les renifleurs réseau et les analyseurs de journaux. Nos capteurs explorent toute l infrastructure, qu elle comprenne ou pas des services AaaS, IaaS, des systèmes locaux classiques ou des applications virtualisées. Nos capteurs gèrent tous les utilisateurs, peu importe qu ils se trouvent au bureau ou télétravaillent. En outre, ils évaluent les composants du réseau et l activité des utilisateurs ou des applications. Ce processus englobe l évaluation standard des vulnérabilités, l analyse de configuration, la détection des malware et des anomalies. Il intègre aussi la détection des activités malveillantes externes ou internes via un large éventail d indicateurs et d algorithmes. SecurityCenter CV exploite des outils d analyse Big Data pour traiter la télémétrie collectée par les capteurs en quasi temps réel et produire des rapports. Les données sur l activité des utilisateurs, du réseau ou des applications, l état du système, ainsi que la détection des menaces fournissent un éclairage crucial pour la gestion des incidents. Vous pouvez exploiter SecurityCenter CV pour un suivi complet et automatique de la conformité du réseau avec des normes complexes de type PCI, CyberScope et FISMA, ainsi que celles plus récentes comme les 20 contrôles critiques du Conseil sur la cybersécurité ou les alertes sur les risques de la SEC (Securities and Exchange Commission). La fonction d analyse de SecurityCenter CV signale également les lacunes dans la couverture de sécurité, telles que des serveurs Web fonctionnant sans pare-feu d applications Web ou des postes de travail accédant à Internet sans protection antivirus et malware adéquate. SecurityCenter CV peut exploiter la télémétrie des divers capteurs pour profiler et déterminer automatiquement quels utilisateurs locaux et distants accèdent à chaque silo de données, y compris l accès direct à Internet. Vous pouvez ainsi classifier les utilisateurs locaux et nomades selon les silos de données avec lesquels ils ont interagi. Connaître les silos auxquels un utilisateur accède permet de prioriser les défenses en cas d exécution d une ou de plusieurs applications à risque. Intégration étroite aux systèmes de sécurité existants SecurityCenter CV présente une intégration étroite et une extensibilité par API à d autres produits de sécurité de type SIEM, défense antimalware, gestion des correctifs, protection des appareils mobiles, pare-feu et outils de virtualisation. Chacun de nos capteurs offre des outils complets pour une exploration automatique des périphériques, puis leur évaluation en termes de vulnérabilités, de malware et de problèmes de configuration. SecurityCenter CV se distingue par sa capacité d intégration à l infrastructure de sécurité existante. Cette intégration englobe par exemple : Gestion des correctifs : Capacité d évaluer l efficacité des outils de gestion de correctifs existants (par exemple, IBM Tivoli Endpoint Manager) en identifiant les systèmes qui ne sont pas gérés actuellement, ou qui n ont pas été corrigés intégralement. Appareils mobiles : Capacité de combiner les données de sécurité sur les périphériques et les utilisateurs nomades provenant de systèmes MDM (par exemple, Mobile Iron) aux vulnérabilités du reste du réseau pour fournir une vue complète de tous les appareils des utilisateurs. Protection antimalware des postes de travail : Capacité d évaluer l efficacité de toutes les principales solutions antivirus, incluant le suivi du nombre d agents déployés, le degré d actualité de leurs signatures et la détection indépendante des programmes malveillants et des malware zero-day avec notre ensemble sophistiqué d indicateurs et de profils d infection. Protection antimalware du réseau : Capacité d auditer les déploiements d environnements sandbox de nouvelle génération comme FireEye, les pare-feu de type Palo Alto et les services de partage d indicateurs comme ThreatConnect. SIEM et analyse de journaux : Capacité d extraire des données SIEM et de journal pour attester d une sécurité effective. Par exemple, si la politique réseau est de collecter des données NetFlow sur tous les systèmes internes, SecurityCenter CV peut suivre les systèmes connus sans enregistrements NetFlow. Des évaluations similaires sont possibles pour les politiques d authentification, de pare-feu, de contrôle d accès réseau et autres. Services de cloud : Détection automatique des services IaaS et AaaS via l analyse du réseau et des systèmes. Les capteurs SecurityCenter CV identifient les utilisateurs accédant à des services cloud tels que SalesForce et à des applications Web telles que Dropbox. 6

7 Notre équipe de recherche de renommée mondiale crée constamment de nouvelles intégrations à des produits et solutions de sécurité. SecurityCenter CV offre également des API pour ajouter et exporter des données, ainsi qu un large éventail de points d intégration pour une analyse de journaux personnalisée, une analyse du trafic réseau et des tests de configuration des systèmes, périphériques réseau et applications cloud. Évolutivité pour le réseau de demain SecurityCenter CV évolue afin de répondre aux besoins futurs pour contrôler les systèmes virtualisés, les services cloud et la prolifération de périphériques. Nos capteurs détectent au mieux les lacunes de conformité et les menaces pour les applications virtualisées. Ils auditent les hyperviseurs de base, l infrastructure virtuelle et les applications. Ils identifient également les éléments inconnus de l infrastructure virtuelle et les applications engendrant la prolifération virtuelle. Tenable a innové en évaluant les instances Amazon Web Services (AWS). Notre technologie d audit AWS détecte les problèmes de sécurité que les systèmes classiques ne vérifient même pas en général, car ils ne résident pas sur le réseau local. Ces types de failles ont été utilisés pour attaquer l entreprise Code Spaces qui a perdu tout contrôle sur son infrastructure AWS. En outre, Tenable développe activement des audits de sécurité et de configuration pour une vaste gamme d applications cloud comme SalesForce, DropBox, NetSuite et ADP. Les capteurs SecurityCenter CV identifient toutes les applications cloud utilisées sur un réseau. Cela englobe des contrôles de base qui identifient les périphériques connectés ou pas à Internet et des contrôles très discrets qui identifient les périphériques et les utilisateurs accédant à Facebook, SalesForce, NetSuite, ADP et des centaines d autres sites professionnels, de partage de fichiers et de réseau social. Enfin, la forte hausse du nombre de périphériques en réseau se poursuivant, notre équipe de recherche innove dans sa capacité à classifier et détecter ce nouveau matériel. Les capteurs SecurityCenter CV détectent une grande variété de systèmes de contrôle industriel, d appareils mobiles et autres utilisant le protocole IPv6. SecurityCenter CV peut effectuer ce type de surveillance sur des réseaux très vastes. Nos clients les plus importants gèrent des millions de périphériques. SecurityCenter CV évolue au fil de la croissance du réseau. Ouverture technologique inégalée SecurityCenter CV détecte, évalue et contrôle plus de technologies que tout autre fournisseur : systèmes d exploitation, périphériques réseau, hyperviseurs, bases de données, tablettes, téléphones, serveurs Web, infrastructure critique, etc. SecurityCenter CV allie la surveillance des correctifs au niveau système, de la configuration, l analyse de journaux, le suivi des applications et l audit des malware pour tous les principaux systèmes d exploitation, dont toutes les versions de Windows et Apple OS X, Red Hat Linux, 11 autres variantes Linux, Solaris, FreeBSD, AIX, IBM iseries et HP-UX. Les évaluations réseau englobent le matériel Cisco, Juniper, Palo Alto, Adtran, Check Point, Extreme, Huawei, Dell, SonicWall, Brocade, FireEye, Fortinet et HP ProCurve. Elles sont possibles avec le fichier de configuration du périphérique en mode hors ligne ou en accès direct au périphérique. La télémétrie réseau est disponible via les capteurs Tenable et via les collecteurs NetFlow. Les audits d hyperviseur concernent VMware, Amazon et Citrix Xen. Les évaluations de base de données concernent Oracle, MySQL, Microsoft SQL, MongoDB, DB2, Postgres, Informix, MariaDB et Sybase. Le suivi des activités de base de données est également possible via l analyse de protocole réseau et les journaux d audit. SecurityCenter CV détecte un large éventail de téléphones mobiles et d appareils, dont tous les types Apple ios, Android, Windows et Blackberry. SecurityCenter CV identifie tous les protocoles de serveur Web, notamment SSL, et les vulnérabilités liées aux tests de serveurs et d applications Web, et gère les audits de configuration propres aux serveurs Apache et IIS. SecurityCenter CV normalise les journaux provenant de centaines de sources de données spécifiques. Quel que soit le mode d envoi des journaux (d un système SIEM, d une banque de données ou directement à SecurityCenter CV), ils sont reconnus et analysés en termes de vulnérabilités, d identification utilisateur et recherche de ressources. Enfin, SecurityCenter CV détecte automatiquement tous les nœuds du réseau qui communiquent avec ou gèrent des éléments clés (alimentation, climatisation, sécurité physique et autres contrôles industriels). De nombreuses évaluations intègrent des mesures de vulnérabilité avec la possibilité d une configuration personnalisée et des audits prédéfinis et certifiés pour les normes de conformité ou les meilleures pratiques fournisseurs. 7

8 Tranquillité d esprit Notre solution de surveillance réseau est la plus utilisée sur le marché. Son déploiement permet d identifier les problèmes de sécurité et les nouvelles normes de conformité bien avant la concurrence. Elle détecte systématiquement les dernières vulnérabilités zero-day et fournit une analyse avancée pour assurer au quotidien la conformité aux normes les plus strictes. La surveillance continue proactive de SecurityCenter CV identifie les risques majeurs dans toute l entreprise. Nos capteurs et outils d analyse exclusifs permettent d évaluer le degré d efficacité de la politique de sécurité pour les utilisateurs locaux et distants, ainsi que les applications locales et cloud. Dans l environnement actuel, le plus grand risque inconnu est celui qui menace l intégrité de l entreprise et peut conduire la direction à la une des médias. SecurityCenter CV permet de gérer les menaces avancées, les vulnérabilités zero-day et les nouvelles formes de conformité réglementaire. Tenable reconnaît que chaque organisation subit des menaces avancées. Notre solution de surveillance continue, intégrant la détection des malware et menaces internes, garantit un déploiement adéquat de la protection pour couvrir les flux de données réseau dont vous pouvez ignorer l existence. En cas de faille, SecurityCenter CV permet de réagir rapidement en fonction de l information la plus exacte et complète disponible sur la sécurité de votre réseau. Les capteurs exclusifs de SecurityCenter identifient les vulnérabilités à l échelle de toute l infrastructure. Vous pouvez ainsi mieux identifier les vulnérabilités signalées par les médias, de type Heartbleed, mais aussi tester l efficacité de votre politique de gestion des correctifs dans son ensemble. Tenable permet d automatiser le reporting pour une diversité de normes de conformité sans équivalent. En déployant nos capteurs exclusifs dans votre réseau, vous pouvez tester une nouvelle norme de conformité en choisissant simplement de nouveaux indicateurs d analyse à intégrer automatiquement à SecurityCenter CV. Conclusion Tenable souhaite vous aider à maintenir la sécurité et nous pensons que le meilleur moyen d y parvenir consiste à surveiller en continu votre réseau et ses défenses, pour détecter les failles risquant d être exploitées. Notre équipe d experts peut déployer SecurityCenter CV et ses capteurs sur votre réseau bien plus rapidement qu une solution SIEM ou de sécurité standard. Point capital, en adoptant une solution Tenable, vous pouvez immédiatement identifier les problèmes de sécurité critiques dans l ensemble de votre réseau. Pour évaluer SecurityCenter CV ou obtenir plus d informations, veuillez nous contacter à l adresse sales@tenable.com. À propos de Tenable Network Security Tenable Network Security offre des solutions de surveillance réseau continue pour identifier les vulnérabilités, réduire les risques et assurer la conformité. Notre gamme de produits comprend SecurityCenter Continuous View, qui procure la supervision la plus complète et intégrée de l état du réseau, et Nessus, la référence mondiale en termes de détection et d évaluation des données réseau. Un nombre important de grandes entreprises, d organisations caritatives et de services publics à travers le monde, dont le Département américain de la Défense, font confiance à Tenable Network Security. Pour de plus amples informations, rendez-vous sur tenable.com. Pour plus d informations : Consultez tenable.com Nous contacter : Écrivez-nous à l adresse sales@tenable.com ou consultez tenable.com/contact Copyright Tenable Network Security, Inc. Tous droits réservés. Tenable Network Security et Nessus sont des marques déposées de Tenable Network Security, Inc. SecurityCenter et Passive Vulnerability Scanner sont des marques commerciales de Tenable Network Security, Inc. Tous les autres produits ou services sont des marques commerciales de leurs détenteurs respectifs. FR-FEB V3 8