IMMUNITY
IMMUNITY
La Solution Immunity
La gestion de la sécurité opérationnelle au quotidien n’est pas une chose aisée car elle tend à contraindre les usages de l’outil informatique alors même que celui-ci est présenté comme une source de productivité. Le problème est tout autant technique qu’humain. Technique parce que les outils de sécurité sont complexes et parfois opaques dans leur fonctionnement. Humain parce que l’on réduit le champ des possibles de l’usager sans lui apporter un service perceptible par lui. Cette gestion est encore plus difficile dans le cas de sites distants, agences régionales et autres antennes locales de l’entreprise. La moindre proximité entre service informatique et utilisateurs finaux engendre souvent des insatisfactions de part et d’autre, des incompréhensions ou des délais de réaction aux incidents allongés.
L’objectif de l’offre Immuniti est d’offrir un niveau de sécurité opérationnel, notamment sur les sites de type « agence », satisfaisant à la fois au niveau de sécurité exigé par le RSSI et à la demande de réactivité et de fluidité d’usagers finaux éloignés des équipes informatiques. Dans le cadre de ce service, nous mettons en œuvre des outils simples et pragmatiques :
Optimisant l’exploitation des liaisons de données WAN et Internet pour une meilleure expérience utilisateur
Bloquant les accès aux serveurs Internet malicieux
Détectant des comportements suspects de postes de travail et produisant des indicateurs de compromission aisément interprétables
Impactant peu ou pas les habitudes des utilisateurs
Gestion optimisée de liens multiples (Internet, VPN, leased lines, MPLS) pour assurer la redondance d’accès aux applications critiques et la fluidité des transactions réseau.
Sécurisation de la liaison Internet des agences (détection d’intrusion, blocage des sites WEB malicieux, blocage des botnets).
Traitement des traces réseau et rapport hebdomadaire des comportements réseau suspects.
Prise en compte remarques des usagers (application lente, site WEB bloqué etc.) et adaptation de la configuration en conséquence.
Traitement des incidents dans des délais garantis (panne de matériel, perturbation réseau etc.)
Solutions SD WAN MAMBO
Un périphérique SDWAN peut être vu comme un routeur intelligent. Celui-ci va gérer des connexions réseau variées (MPLS, Internet), établir des tunnels VPN et choisir le meilleur chemin entre un client et un serveur en fonction d’une combinaison paramétrable de critères variés : Latence réseau, taux de perte réseau, IPs source et destination, numéro de port TCP/UDP, protocole L7 utilisé, etc.
Le routeur SDWAN, s’il dispose de plusieurs routes vers une même destination peut alors choisir la meilleure en fonction des besoins de l’application utilisée. Bien entendu, la panne d’un lien réseau peut être détectée et le flux applicatif peut alors être redirigé vers un chemin de secours.
Les équipements SDWAN sont donc principalement utilisés sur des sites « Branch Office » devant se connecter à un datacenter. Le cas typique d’usage consiste à utiliser un périphérique SDWAN pour redonder un lien MPLS (permettant l’accès au datacenter) à l’aide d’un tunnel IPSEC établi sur une liaison Internet (peu chère). Dans certains cas les liaisons privées seront totalement supprimées aux profits de liaisons Internet et de VPN. Dans ce dernier cas, les mécanismes de sélection des chemins en fonction des critères de performance (latence, perte, gigue) prennent tout leurs sens.
Surveillance des comportements comptes utilisateurs (UBA Managé)
“User Behavior Analytics” est une nouvelle génération d’outils analysant le comportement des postes de travail et visant à compléter l’arsenal de protection de l’utilisateur final. Le socle de la sécurité du poste est l’antimalware. Mais l’efficacité de ce dernier est souvent amoindrie par un paramétrage visant à limiter les faux positifs (blocage intempestif d’applications légitimes) et plus généralement par l’incroyable prolifération des menaces en tous genres (phishing, botnets, usurpation d’identité etc.). Il convient donc de détecter les signaux faibles d’une compromission sans impacter le travail au quotidien de l’utilisateur et c’est là le rôle du UBA. Nos équipes gèrent le déploiement et les remontées d’alertes du UBA au quotidien, qualifie la pertinence de ces dernières et remonte l’information et le contexte à l’équipe informatique si nécessaire. Cette dernière peut alors agir rapidement car elle sait quel poste, quel utilisateur, quels processus et quels lieux sont concernés. Il existe plusieurs types de produits UBA mais les plus efficaces s’appuient sur une combination de corrélations d’événements et d’analyses statistiques (machine learning, IA). On collecte d’abord des événements système et réseau (ex : logs Windows, logs firewall) et on les concentre sur une plateforme d’analyse. Cette dernière va enrichir et contextualiser les événements (quel utilisateur utilise quelle machine, quel est le niveau de privilèges de l’utilisateur, l’événement est-il courant sur le système analysé etc.), notamment grâce à des mécanismes de « machine learning ». Les corrélations vont permettre de dégager de la masse d’information, des enchaînements d’événements suspects et statistiquement peu probables. A l’aide d’un outil UBA, on pourra par exemple se rendre compte qu’un poste se connecte à des sites peu ou pas visités par les utilisateurs habituellement et que ce comportement hors norme est suivi par une émission de trafic vers l’extérieur, elle aussi inhabituelle. Un tel enchaînement d’événements est symptomatique d’une exfiltration malicieuse de données.
Concentration et analyse automatisée des évènements système et réseau liés au comportement des postes et des utilisateurs.
Analyse et estimation de l’analyse des alertes. Rapport des alertes à l’équipe informatique dès confirmation de leur criticité.
Sur autorisation, investigation des systèmes suspectés d’être compromis et proposition d’un plan d’action pour atténuer les effets.
Contactez-nous
Leogrid
63 Avenue du Maréchal Foch
78400 Chatou, France
Horaires
9h00 – 17h00
Téléphone
01 80 43 00 90