Blog - article

Une intégration étroite entre la sécurité des terminaux et celle du réseau permet de neutraliser les attaques

By:
Kevin Kennedy
October 4, 2017

De nombreuses équipes de sécurité sont dépassées par l'ampleur et l'agressivité des menaces numériques, de plus en plus furtives et destructrices. Les centresSOC sont submergés, accaparés par le temps passé à analyser et neutraliser les incidents.

L'intégration de la sécurité des terminaux et du réseau peut leur simplifier considérablement la tâche. Les outils de sécurité réseau offrent une vue fiable des activités intervenant dans le réseau d'une entreprise, des utilisateurs au centre de données en passant par le Cloud, et sur tous les types de terminaux, dont les appareils IoT. Quant aux solutions de sécurité pour terminaux, elles proposent une vue des activités survenant sur des terminaux critiques, comme les charges de travail cloud, les serveurs et les ordinateurs portables. En unifiant ces deux vues distinctes, vous pouvez donner aux équipes des SOC la possibilité de détecter et de bloquer plus rapidement les menaces.

Ainsi, grâce à la visibilité sur le réseau, vous pouvez détecter la présence d'un tunnel permettant à un système externe de contrôler une machine de votre propre réseau. De même, la visibilité sur les terminaux vous permettra de déterminer si le processus à l'origine du trafic est un outil d'accès à distance, l'application Teamviewer, etc. En combinant ces deux perspectives, vous pouvez rapidement identifier, confirmer et neutraliser les menaces.

Cette approche fait de plus en plus d'adeptes.

Quel niveau d'intégration?

«L'intégration des outils de sécurité du réseau et des terminaux pourrait potentiellement réduire le coût total de possession des solutions de sécurité et garantir une détection des menaces et une correction automatisée plus efficaces», note Peter Firstbrook, analyste pour Gartner, dans son rapport «How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad»publié le 29juin2017 (ID: G00321058).

Toutefois, l'efficacité réelle est fonction du niveau d'intégration. Gartner dénombre cinq niveaux d'intégration: packaging (niveau1), gestion (niveau2), informations sur les menaces (niveau3), résolution des alertes (niveau4) et actions (niveau5).

«La plupart des solutions sont uniquement intégrées au niveau du packaging (normalisation du format) ou du partage d'informations sur les menaces. Peu d'entre elles sont suffisamment intégrées sur le plan des stratégies pour modifier le niveau de sécurité sur la base du contexte. Par conséquent, l'intégration n'a pas encore apporté cette sécurité unifiée plus performante tant attendue», poursuit Peter Firstbrook dans son rapport.

Une nouvelle chaîne de blocage intégrée

Chez Vectra, nous avons pu constater toute l'efficacité de l'intégration de la sécurité des terminaux et du réseau. Nous avons pu constater combien un contexte associant des détections sur le réseau et les terminaux était précieux pour les équipes de sécurité. En effet, celles-ci peuvent désormais intervenir et appliquer des mesures rapides et déterminantes pour neutraliser les cyberattaques et éviter la perte de données.

Pour appliquer ce principe, nous avons développé une API REST robuste qui permet àVectra Cognito, notre version logicielle de l'analyste en sécurité, d'être intégré à une architecture de sécurité d'entreprise parfaitement coordonnée. L'API Vectra permet d'intégrer un large éventail d'outils de protection des terminaux ainsi que la vaste majorité des solutions de sécurité.

Vectra Cognito est encore mieux intégré à Carbon Black, pour offrir une sécurité des terminaux de nouvelle génération. Ce niveau d'intégration inégalé permet à Vectra d'importer automatiquement le contexte d'un terminal exécutant Carbon Black, l'administrateur de la sécurité pouvant ensuite basculer d'un seul clic de l'interface utilisateur Vectra vers la solution Carbon Black Response pour effectuer une analyse plus poussée, isoler un système ou arrêter un processus.

Un clic droit sur une détection dans Vectra vous permet d'accéder à une vue détaillée du système, grâce à Carbon Black.

Le groupe HBO Latin Americaa pu constater les avantages de l'intégration de Vectra et de Carbon Black. «Par le passé, il était très difficile de faire le lien entre le comportement réseau, le comportement des systèmes et les journaux d'événements», explique Albert Caballero, RSSI du groupe HBO Latin America.

HBO Latin America utilise Vectra Cognito pour mettre automatiquement en quarantaine les terminaux lorsque des comportements d'attaque réseau sont détectés. «Une investigation numérique doit disposer d'informations sur les activités réseau (captures de paquets ou autre preuve des activités survenues sur le réseau), des informations sur les activités du système présumé compromis ainsi que les journaux pour le confirmer. Ces trois éléments sont essentiels pour disposer d'une vue complète des événements», affirme M.Caballero.

Pour en savoir plus

Découvrez pourquoi Vectra Cognito et Carbon Black peuvent détecter et neutraliser plus efficacement les menaces lorsqu'ils fonctionnent de concert.Téléchargez la présentation de solution.

Découvrez comment HBOLatin America peut appliquer des mesures en temps réel contre les menaces actives, grâce à l'intégration étroite entre Vectra Cognito et Carbon Black.Regardez le webcast.

About the author

Kevin Kennedy

Kevin Kennedy is vice president of product management at Vectra with extensive experience in security.

Most recent blog posts from the same author

Security operations

Better together: Tight integration between endpoint and network security can stop attacks faster

September 20, 2017
Read blog post
Cybersecurity

The existential threat of IP theft

April 20, 2017
Read blog post
Cybersecurity

Stealthy ransomware: Extortion evolves

March 29, 2017
Read blog post