Cisco France Blog – Sécurité

Cisco Live Milan 2015

Screen Shot 2014-10-21 at 21.08.13

 

C’est reparti pour « La Grande Messe » technique de Cisco en Europe, Cisco Live Milan 2015.

Cet évênement annuel se tiendra au Fiera Milano Congressi, Mico Conference Center, du lundi 26 Janvier au vendredi 30 Janvier 2015.

Inscription ci-dessous, ou via nos partenaires de formation (nous contacter)

http://www.ciscolive.com/emea/

L’année dernière, vous avez été plus de 5500 à participer aux sessions techniques sur la sécurité (35 sessions « breakouts » et 6 Techtoriaux)

Pour cette nouvelle édition, nous vous attendons encore plus nombreux, avec plus de sessions « breakouts », techtoriaux, labs,…

Toutes les préocupations actuelles de nos clients en terme de sécurité et Cyber Securité seront abordées.

- Pratique de sécurisation des réseaux avec Trustsec

- Sécurité du Data Center

- Cybersecurité

- Protection contre les menaces ciblées

- Optimisation dans un environnement client de la sécurité web

- Contrôle d’accès en entreprise, gestion de la mobilité, du BYOD

et la liste n’est pas exhaustive.

Sans oublier les rachats récents : Sourcefire, Cognitive Security et ThreatGrid venant  compléter en enrichir l’offre existante.

Nos plus grands spécialistes vous attendent donc, en Janvier prochain, afin d’échanger et vous aider à apporter des solutions à vos problématiques métiers quotidiennes.

Mots-clefs :, , ,

Cisco Cyber Threat Defense (CTD) pour le Data Center

Nous en avons déjà parlé, les menaces ont évolué ces dernires années vers ce que l’on appelle les APTs (Advanced Persistent Threat).

Les gouvernements et les entreprises sont de plus en plus touchées par des attaques ciblées visant à récupérer des informations stratégiques dans un contexte de cyber espionnage ou à des fins de rançonnage.

Le nombre de connexions par seconde dans les Data Center a augmenté de plus de 3000% ces dernières années et plus de 100 000 nouvelles menaces sont détectées chaque jour.

Les solutions de sécurité actuelles sont complexes et fragmentées ralentissant ainsi la détection des APTs.

C’est la raison pour laquelle Cisco propose un modèle de sécurité qui permet de s’adapter à ces transformations afin de répondre au mieux aux nouveaux types d’attaques.

 Cisco Secure Data Center for the Entreprise Solution Porfolio

Screen Shot 2014-10-14 at 17.42.21

Dans ce « post », notre focus va se porter sur une solution que l’on nomme Cisco Cyber Threat Defense (aka Cisco CTD) et qui permet de détecter les comportements anormaux d’un ou de plusieurs serveurs à l’intérieur d’un Data Center.

Nous parlons ici d’architecture et de solution sécurisée car CTD n’est pas qu’un outil de plus au service de la sécurité du Data Center mais la convergence et cohérence de notre offre de sécurité afin de permettre :

- Détection de l’APT à partir de la solution Cisco CTD, basée sur Netflow V9, et de son algorithme très puissant

- Visibilité et contrôle des accès via ISE (Identity Service Engine)

- simplification de la politique de sécurisation du réseau via Trustsec (en lien avec ISE)  : implémentation à base de tags afin d’identifier « qui peut communiquer avec qui. » La gestion fastidieuse et incertaine de centaines ou de milliers d’access lists n’est donc plus nécessaire.

Cisco Data Center Cyber Threat Defense TrustSec and Stealwatch Topology

Screen Shot 2014-10-14 at 18.07.52

Pour plus d’informations :

Cisco Cyber Threat Defense Solution

Design Zone for Secure Data Center Portfolio

Mots-clefs :, , , ,

Cisco : Bilan des Assises de la Sécurité 2014

Comme mentionné dans un post précédent, la semaine dernière se tenait à Monaco la 14ème édition  des Assises de la sécurité.

Vous avez été très nombreux à venir nous rendre visite sur le stand Cisco afin de comprendre quelle était l’évolution de notre approche en terme de Sécurité et Cyber Securité.

De même, vous avez été plus de 350 à participer au keynote de Martin Roesch (CMO Cisco et créateur de SNORT) sur le thème « une approche de la sécurité axée sur les menaces », et plus de 150 à assister aux workshops.

Keynote Martin Roesch

IMG_5212,

Toute l’équipe Sécurité Cisco France se joint à moi pour vous remercier de votre fidélité et de l’intérêt que vous portez à nos solutions.

L’actualité Cisco Sécurité est actuellement extrêmement riche et complète (Before, During, After) :

- l’approche axée sur la menace (Next Gen IPS,…) venant compléter une approche de protection périmétrique mais aussi de sécurisation de web et de  mails.

- les solutions Cisco permettant d’apporter de la visibilité sur les réseaux/devices, les utilisateurs/applications, fichiers/Data avec par exemple ISE (Identity Service Engine).

- la partie Trustsec  permettant de s’affranchir d’une gestion souvent très/trop complexe de centaines voir de milliers « d’acces lists » grâce à un système de tag appelé Security Group Tag(SGT).

- la nouvelle génération de firewall Cisco embarquant la next Gen IPS « Sourcefire » et centrée sur la menace – voir post 

- l’ajout d’AMP (Anti malware Protection, technologie issue de Sourcefire ) sur l’offre de sécurisation de web et de mail.

- CTD (Cisco Threat Defense) basé sur du Netflow (y compris V9) afin de travailler sur les comportements anormaux de postes/serveurs sur un LAN. Cette solution s’ interconnecte avec ISE.

- Sans oublier, les interconnexions de Data Center sécurisées;

Et la liste est loin d’être exhaustive !

Notre objectif , avec nos solutions de sécurité, est de pouvoir vous accompagner dans la transformation de vos métiers et de votre IT.

Mots-clefs :, , ,

ASA version 9.3.1

En attendant la version 9.3.2 de l’ASA qui devrait sortir avec son lot de nouveautés voici un petit point sur la version 9.3.1 qui est disponible depuis cet été. Cette version supporte les nouvelles fonction Next Gen Firepower qui seront présentées dans un prochain article

img4

Nouvelles fonctions Firewall :

  • L’ASA dispose d’une fonction unique TLS proxy qui permet de déchiffrer à la volée la signalisation de la ToiP Cisco, cette version 9.3.1 ajoute maintenant le déchiffrement et l’inspections des protocoles SIP et SCCP en IPv6 en plus d’IPv4 qui était déjà disponible.

img1

  • On en profite pour ajouter le support de SCCP v21 et donc l’interopérabilité avec le CUCM version 8.6

 

  • Un mode transactionnel « Commit » est mis en place pour les Access-list et le NAT . Lorsque ce mode est activé l’update des règles n’est appliqué que lorsque la compilation est terminée sans affecter les performances de la table de filtrage.

 

Remote Access VPN :

  • Ajoute du support de XenDesktop 7 avec le portail WebVPN.

 

  •  Amélioration des attributs “Custom” d’Anyconnect.

Les attributs “Custom” correspondent à des fonctions complémentaires qui permettent de configurer certaines fonctions du client d’Anyconnect :

Par exemple proposer à un utilisateur de repousser le moment d’un upgrade anyconnect.

Le format des attributs a été amélioré pour permettre des valeurs multiples et plus longue, il faut maintenant spécifier le type, le nom et la valeur de l’attribut.

Il est possible d’ajouter ces « custom » attributs dans une DAP ou un group policy.

 

ACIDEX (Anyconnect Identity Extensions), ce sont des attributs récupérés par Anyconnect et renvoyé à l’ASA comme par exemple l’adresse MAC ou l’EMEI pour les mobiles. Cette version apporte le support d’ACIDEX pour les Windows, MAC et Linux et communique le type d’OS et leur @MAC. Ces éléments peuvent par exemple être utilisés dans les Dynamic Access Policies de l’ASA (DAP)

img2

TrustSec / AAA :

  • TrustSec SGT Assignment pour le VPN : Cette fonction attendue depuis longtemps permet l’application d’un TAG (SGT) aux clients VPN connectés à l’ASA, cet assignement peut soit être effectué statiquement dans un group policy ou dynamiquement renvoyé comme attribut radius par ISE.

img3

Ce tag pourra être retransmit à travers le réseau vers un autre équipement filtrant afin de limiter les accès des utilisateurs VPN.

  • Ajoute du support du Tagging niveau 2 dans la trame Ethernet pour les interfaces Gigabits des ASA 5500-X et 5585-X. Cela permet l’interconnexion en mode TrustSec natif avec tous les switches Cisco qui supportent ce mode.

 

  •  Suppression de mode AAA « windows NTP domain authentication ». L’ASA ne supporte plus NTLM pour les utilisateurs VPN, la connexion LDAP native reste la plus utilisé pour l’interconnexion avec les Annuaires.

 

Optimisations :

Les paquets dans l’ASA sont automatiquement traités par un mécanisme de répartition de charge entre les différents processeurs, la version 9.3.1 permet de désactiver le mode auto de ce load-balancing.

Dans certains cas spécifique de trafic asymétriques il peut être utile d’interagir sur le system d’où l’introduction des commandes :

asp load-balance per-packet auto, show asp load-balance per-packet , show asp load-balance per-packet history , and clear asp load-balance history

 

Management :

  • La MIB CISCO-REMOTE-ACCESS-MONITOR-MIB est maintenant supportée avec l’ ASA SM.

 

  • Support du module Health avec des ASA en mode clustering.

 

Mode FW transparent :

En mode transparent l’ASA permettait de supporter 8 groupes de 4 interfaces, avec la 9.3.1 le nombre de groupes (Bridge-Group) passe de 8 à 250. Ce nombre est valable pour un ASA en mono-contextes mais également pour chaque contexte en mode multi-contextes. Pour rappel les asa supportent suivant les modèles jusqu’à 250 contextes.

 

Routage :

  • Ajout du support de BGP pour les ASA en mode cluster.
  • BGP supporte maintenant le mode NSF (Non-Stop Forwarding)
  • Ajout du support des « Advertised maps » pour BGP

Pour rappel l’ASA supporte BGBv4, le support d’IPv6 pour BGP est prévu dans la 9.3.2 qui devrait être disponible avant fin Novembre.

  • Le support de NSF a également été ajouté pour OSPFv2 et OSPFv3.

La release 9.3.1 est disponible pour l’ensemble de la gamme ASA-X, l’ASA-SM ainsi que pour la version virtuelle ASAv, vous trouverez plus d’informations sur le sujet dans la release notes :

 

 

 

 

 

 

Demain, ouverture de la 14ème édition des Assises de la Sécurité

Demain, mercredi, s’ouvrira la 14 ème édition des Assises de la Sécurité

Screen Shot 2014-09-22 at 18.29.49

Comme mentionné dans le post précédent, Cisco sera présent sur le stand 128/129.
Toute l’équipe sécurité France ainsi que le CMO Cisco Martin Roesch, seront là pour vous accueillir et vous parler de la sécurisation de votre environnement métier avec l’approche en 3 temps :

  • Before (avant l’attaque)
  • During (pendant l’attaque)
  • After (après l’attaque)

Pour rappel, Cisco aujourd’hui,  se différencie du marché par sa capacité, via son offre “End to End”, à sécuriser des architectures de bout en bout, de l’utilisateur au Data Center (centre névralgique de l’entreprise) en passant par le Cloud.

Cette approche globale de Cyber Défense est une préocupation de tous les gouvernements.

C’est ainsi que se tenait le 24 et 25 septembre dernier à Pekin la  « China Internet Security Conference 2014” dont l’objectif était de mettre en évidence l’ensemble des opportunités et des problématiques liées à la sécurité de l’internet (Internet of Thing,  le “tout numérique”,…)

Les 3 thèmes les plus important furent :

  • la sécurité nationale : la priorité de chaque pays
  • La sécurité mobile : la Chine est très en avance sur le “tout digital”, le téléphone permet de faire un très grand nombre d’achats en ligne entre autre
  • La sécurité du Cloud : où sont les données, comment les protéger ?

La sécurité mobile, la sécurité du Cloud, la protection des données métiers,…toute l’équipe sécurité Cisco France vous attend demain sur son stand afin de pouvoir échanger sur vos besoins de sécurisation de votre environnement métier.

Mots-clefs :,

Cisco et les Assises de la sécurité

Comme tous les ans depuis 14 ans « Les Assises de la sécurité » est le lieu de rencontre pour les RSSI, constructeurs et partenaires de l’écosystème.

Screen Shot 2014-09-22 at 18.29.49

L’approche Cisco, est une approche centrée sur la menace, dans un positionnnement d’accompagnement du cycle de la menace :  « before(avant l’attaque), during(pendant l’attaque) et after(après l’attaque) » sur une architecture complète de bout en bout (de l’utilisateur, au Data Center en passant par le cloud).

Dans ce contexte, cette année, Cisco sera présent, plus que jamais, sur le stand 128/129 et présentera l’approche Cyber Sécurité Cisco lors de 3 ateliers et d’ 1 keynote.

============================================================================
Atelier 1 – Comment gérer sa sécurité aujourd’hui ?
Mercredi 1er Octobre 2014 – 16h00 – Salle Genevoix
Animé par Yann Le Borgne, Directeur technique Sécurité & Cyber Sécurité Cisco – Europe du Sud
============================================================================
Atelier 2 – Gérer une politique de contrôle d’accès dans un monde IT aux frontières floues et au périmètre mouvant
Jeudi 2 Octobre 2014 – 10h00 – Salle Auric
Animé par Cyrille Badeau, Directeur Sécurité & Cyber Sécurité Cisco – l’Europe du Sud
============================================================================
Atelier 3 – Comment lutter contre une attaque ciblée pour attaquer votre réseau
vendredi 3 Octobre 2014 – 10h00 – Salle Van Dongen
Animé par Christophe Jolly, Directeur Sécurité & Cyber Sécurité Cisco France
============================================================================
Keynote – une approche de la sécurité axée sur les menaces
Vendredi 3 Octrobre – 15h00 – Salle Camille Blanc
Animé par Martin Roesch, CMO Cisco
============================================================================
Nous vous attendons nombreux sur le stand Cisco 128/129.
A la semaine prochaine!

Mots-clefs :, , ,

Cisco dévoile le 1er « Next Gen » Firewall du marché centré sur la menace

Cisco annonce aujourd’hui le 1er firewall du marché embarquant une sonde IPS de « Next Generation ».

Le Cisco ASA avec la technologie FirePower est le premier firewall du marché à proposer une approche centrée sur la menace.

A cette occasion j’ai interviewé Cyrille Badeau, directeur de la sécurité au niveau Europe du Sud, afin qu’il nous donne sa perception sur cette annonce majeure.

Le Cisco Asa avec les services FirePOWER apporte visibilité, clustering, focus sur la menace (Next Gen IPS), filtrage d’URL, la partie AMP (Advanced Malware Protection),…

Cisco ASA with FirePower services

Les entreprises peuvent profiter de l’introduction de cette technologie de deux façons :

-       Cisco ASA avec la technologie FirePOWER : les clients peuvent acheter les firewalls ASA 5500-X Series et ASA 5585-X Series avec une licence FirePOWER

-       FirePOWER pour Cisco ASA : les clients peuvent activer la technologie FirePOWER sur les firewalls ASA 5500-X Series(SSD requise) et ASA 5585-X Series existants (Firepower module requis).

Pour plus d’informations : http://www.cisco.com/c/en/us/products/security/index.html

Mots-clefs :, , ,

Unique! Le nouveau modèle de sécurité Cisco

Nous en avons parlé dans les posts précédents la sécurité/Cyber Sécurité devient un axe particulièrement critique au sein de l’entreprise.

Les enjeux métiers sont tellement importants qu’il n’est plus possible aujourd’hui de pratiquer « la politique de l’autruche” sans faire prendre au cœur de métier de l’entreprise des risques inconsidérables.

C’est ainsi que Cisco s’adapte à l’évolution des menaces en proposant un nouveau modèle de sécurité:

  • Avant l’attaque (Before)
  • Pendant l’attaque (During)
  • Après l’attaque (After)

Voici une courte vidéo où Cyrille Badeau, Directeur Europe du Sud, explique ces changements et l’ adaptation rapide de Cisco afin d’être au plus proche des problématiques et besoins de nos clients.

Pour rappel, la sécurité doit-être prise en compte en amont des projets

Si vous souhaitez en savoir plus, rendez vous : http://www.cisco.com/c/en/us/products/security/index.html

Mots-clefs :, , , , ,

Rapport semestriel Cisco sur la sécurité

Afin de bien commencer cette rentrée ne manquez pas le Rapport semestriel sur la sécurité de Cisco, présenté lors de la Black Hat (2-7 août 2014, Las Vegas). Ce rapport se penche sur la simplicité des vulnérabilités dans les entreprises qui contribue à un paysage de la menace de plus en plus dynamique. Ces vulnérabilités – qui peuvent être des licences logicielles non mises à jour, un mauvais code, des propriétés numériques oubliées ou des erreurs utilisateur – augmentent les capacités des hackers à exploiter les failles avec des méthodes telles que :

  • les requêtes DNS,
  • les kits d’exploitation pirate
  • les attaques par amplification
  • la compromission des systèmes de paiement
  • les fausses bannières de publicité (malvertising)
  • les rançongiciels (ransomware)
  • l’infiltration des protocoles de chiffrement
  • l’ingénierie sociale et les spams ciblés et personnalisés

Le rapport montre également que le fait que les équipes de sécurité s’intéressent davantage aux vulnérabilités médiatisées plutôt qu’aux menaces ordinaires et insidieuses, dont l’impact serait significatif, expose les entreprises à un plus grand risque. En multipliant les attaques invisibles contre les applications et l’infrastructure existante grâce à des failles simples, les hackers sont en mesure d’échapper aux outils de détection, alors que les équipes de sécurité sont concentrées sur des vulnérabilités pointées du doigt, comme Heartbleed.

Principales conclusions du rapport:

En se basant sur 16 grandes multinationales, qui, à compter de 2013, ont cumulé plus de 4 trillion de dollars d’actifs pour des revenus de plus de 300 milliards de dollars, le rapport Cisco a permis de mettre en évidence trois notions de sécurité, en analysant les entreprises et le trafic malveillant :
  Les attaques “Man-in-the-Browser” entrainent un risque pour les entreprises : En 2014, près de 94 % des entreprises voient une partie de leur trafic réseau allant vers des sites web qui hébergent des logiciels malveillants. Plus particulièrement, en émettant des requêtes DNS pour des noms d’hôtes où l’adresse IP à laquelle le nom d’hôte correspond est détournée pour être associée à la diffusion massive de malwares (Palevo, SpyEye, et Zeus) qui enferme des fonctionnalités man-in-the-browser (MiTB).
o   Les réseaux de Botnet : Près de 70 % des réseaux émettent des requêtes DNS pour des domaines DNS dynamiques. Cela prouve que les réseaux utilisés à mauvais escient ou compromis avec des botnets utilisent DDNS pour modifier leur adresse IP pour éviter les systèmes de détection / d’être blacklisté. Peu de tentatives de connexions sortantes légitimes provenant des entreprises cherchent des domaines DNS dynamiques en dehors des centres d’appels qui cherchent à dissimuler l’emplacement de leur botnet.
o   Le chiffrement des données volées : En 2014, près de 44 % des entreprises émettent des requêtes DNS pour des sites à l’aide d’outils qui offrent un canal chiffré, utilisés par les hackers pour brouiller les pistes pour exfiltrer des données et éviter les systèmes de détection VPN, SSH, SFTP, FTP ou FTPS.

•    Selon l’équipe d’analystes sécurité de Cisco®, le nombre de kits d’exploitation pirates a chuté de 87 % depuis que le créateur présumé du très populaire kit d’exploitation Blackhole a été arrêté l’année dernière. Plusieurs kits d’exploitation pirates repérés dans la première moitié de l’année 2014 ont tenté de se développer sur le territoire autrefois dominé par Blackhole, mais aucun n’a pris l’avantage à ce jour.

Screen Shot 2014-09-01 at 15.43.07

·      Java demeure le langage de programmation le plus exploité par les hackers. Les équipes de sécurité de Cisco ont constaté que, en mai 2014, les exploits Java ont augmenté de 93 % parmi les attaques recensées par les indicateurs de compromission (Indicators of Compromise – IOCs), après avoir représentés 91 % des IOCs en novembre dernier comme le souligne le Rapport annuel sur la sécurité de Cisco.

Screen Shot 2014-09-01 at 15.39.11

·      Une croissance des malwares sur les marchés verticaux. Sur le premier semestre 2014, la hausse des malwares visant l’industrie pharmaceutique et chimique, place une nouvelle fois ce secteur dans le top 3 des marchés verticaux à haut risque face aux logiciels malveillants.  Le secteur des médias et de la publicité est 4 fois plus exposé aux malwares que la moyenne des autres secteurs et l’aviation glisse à la troisième place avec deux fois plus de malwares que la moyenne. Selon la zone géographique, les marchés les plus affectés sont les médias et la publicité aux US, l’agroalimentaire  en EMEAR (Afrique, Europe et Middle East) et l’assurance en APJC (Asie Pacifique, Chine, Japon et Inde).

. et pour finir, le focus des hackers lors du premier trimestre 2014 : les applications sont une cible privilégiée (31%)

Screen Shot 2014-09-01 at 15.40.31

Citation

John N. Stewart, senior vice president, chief security officer, Cisco, déclare: « De nombreuses entreprises innovent et se développent grâce à Internet. Pour réussir dans cet environnement dynamique, les décideurs doivent tenir compte et gérer, en terme de business, le risque cyber associé. En analysant et en comprenant que les failles de sécurité repose en grande partie sur la capacité des entreprises et de l’industrie à sensibiliser sur les risques cyber aux niveaux les plus élevés, y compris la direction générale, en faisant de la cybersecurité un enjeu business et non technologique. Pour couvrir l’ensemble du continuum d’attaque – avant, pendant et après une attaque – les entreprises doivent s’appuyer sur des solutions de sécurité qui opèrent partout où la menace peut se manifester »

Pour rappel, lorsque John Stewart parle du continuum d’attaque : avant, pendant et après une attaque, il fait référence  à la nouvelle approche Cisco en terme de Sécurité/Cyber Sécurité, expliquée dans des « posts » antérieurs.

Screen shot 2014-02-10 at 6.05.39 PM

Mots-clefs :, , , ,

Rôle clé de la sécurité dans la transformation des métiers et des modèles

Robert Vassoyan, Directeur Général de Cisco France,  nous explique, dans une courte vidéo, pourquoi la sécurité et Cyber Sécurité sont des enjeux majeurs  dans la transformation de nos clients et en quoi l’ offre Cisco permet d’accompagner ce changement avec efficacité et respect de l’environnement métier.

En effet,  cette transformation est aujourd’hui incontournable souvent guidée par des défis de type économiques, politiques ou géo-politiques.
Les modèles IT sont en pleine phase de transition et doivent permettre d’aider et d’accompagner cette transformation lorsqu’ils sont à la hauteur.
C’est dans ce cadre que Cisco s’alliant avec ses clients accompagne ces changements. L’approche Cisco de bout en bout, innovante, et les solutions associées telles le Cloud, l’Internet of Thing (Cisco Internet of Everything), la Mobilité, le Big Data et la Sécurité  sont des éléments clés de cette transformation permettant ainsi à la technologie d’être intégrée dans l’ensemble des processus métier.

De façon irrémédiable, le numérique va rentrer dans tous les process et accélérer les changements.
C’est ainsi que la sécurité/Cyber Sécurité, débat d’experts,  va et doit devenir stratégique dans l’entreprise et être relayée et sponsorisée par le CEO.

Pour plus d’ informations :  www.cisco.com/go/security

Mots-clefs :, , , , , , ,