Cisco France Blog – Sécurité

Tout savoir sur le positionnement de Cisco Meraki et son offre de Firewall (UTM)

J’ai eu le plaisir d’interviewer cette semaine Joe Souedi, ingénieur avant-vente chez Cisco, spécialiste sur la gamme  Meraki afin de positionner l’offre dans le contexte de la sécurité.

Screen Shot 2014-04-16 at 18.13.35

Quels sont les atouts forts de la gamme Meraki ?
Meraki apporte la simplicité de gestion, l’extensibilité  et la puissance du Cloud pour des déploiements multi-sites (de quelques dizaines à plusieurs milliers).

Quel est l’intérêt du modèle Cloud pour cette solution ?

  • Facilité de gestion mode “Cloud Managed »: le client configure via une interface web hébergée chez Cisco dans le cloud l’ensemble de configurations de ses équipements.
  • Extensibilité du Cloud: elle est “quasi infinie” la solution est déployée sur les différents sites clients et le Cloud permet de gérer la charge et d’apporter de façon simple et transparente pour l’utilisateur des services complémentaires.
  • Economie de Coût: l’infrastructure de management est disponible dans le Cloud, le client n’a donc pas besoin de gérer cette partie. La partie Capex est donc réduite au strict minimum  alors que la partie management et maintenance passe en mode Opex, permettant ainsi à nos clients de se concentrer sur leurs besoins métiers.

Quels sont les services disponibles sur l’offre Cisco Meraki ?

L’offre se décline en 3 types principaux de services : Wifi, Switching et Sécurité

==> WIFI: le contrôleur et l’intelligence sont déportés dans le Cloud rendant ainsi les déploiements  extrêmement simples puisque seules les bornes sont à installer sur chacun des sites. Le management et l’intelligence centralisée permettent de piloter l’ensemble du réseau de wifi, roaming,…. La gestion des puissances d’émissions et des canaux de fréquence se fait de façon automatique.

–> Forces et différenciants de l’offre wifi Meraki :

  • les bornes embarquent un firewall de niveau 3 (IP) et 7 (applicatif).  Grâce la visibilité applicative il est possible de bloquer certains types de trafic en limitant si besoin la bande passante. Exemple: on limite “Youtube” sur le « SSID Invité” à 72 Kb/s
  • fonctionnalité CMX sur les bornes. Cette fonctionnalité permet de donner des statistiques sur le comportement des invités dans l’environnement des bornes (loyauté, taux de captures, temps de visite, comptage des clients,…)
  • les bornes embarquent une 3ème radio dédiée à la sécurité : cette radio va scanner l’ensemble des canaux des fréquences wifi pour détecter interférences et attaques(attaques WIPS et WIDS) afin d’agir en conséquence.

 

==> SWITCHING c’est une gamme de switch accès/agrégation dans le modèle Cloud Managed

–> Forces et différenciants de l’offre switching Meraki :

  • la visibilité et le contrôle sur le traffic – capture de paquets, test des câbles à distance, visibilité applicative du traffic niveau 7
  • Optimisé pour la voix et vidéo (Qos voix/video,…)
  • Sécurité attendue en terme de contrôle d’accès : 802.1x (vlan guest),…
  • Virtual stack permettant de manager l’ensemble des ports des switchs comme un seul switch (sans stacking physique et sans contraintes géographiques)

Exemple : possibilité de faire apparaître tous les ports voix de l’ensemble des switchs d’une entreprise et possibilité de modification en quelques clics si nécessaire.

 

==> FIREWALL:la gamme Meraki MX propose des appliances de sécurité de type UTM proposant les fonctionnalités suivantes :

  • Cloud managed
  • Optimisation wan
  • Filtrage de contenu
  • Agrégation de liens
  • VPN
  • Routage ou bridging
  • Firewall de niveau 3 à 7 (Next generation firewall)
  • IPS/IDS Sourcefire embarqué

–> Forces et différenciants de l’offre Sécurité UTM Meraki :

  • Cloud managed
  • Gestion simplifiée grâce à l’interface web intuitive
  • Self provisioning des équipements et déploiements ultra rapides
  • IPS/IDS Sourcefire embarqué
  • Auto VPN qui facilite le déploiement et la gestion des tunnels VPN: 2 clics pour 2 ou 1000 sites !

 

Pour plus d’informations sur Cisco Meraki, rendez vous à l’adresse suivante : https://meraki.cisco.com

Mots-clefs :, , , ,

Sécurisation du Data Center : les besoins, les solutions

Le Data Center (ou Salle Informatique) est un endroit extrêmement stratégique pour les entreprises.
Comment protéger efficacement les données critiques de l’entreprise ?
Comment contrôler efficacement le trafic Nord-Sud mais aussi Est-Ouest (entre les serveurs) ?
Comment apporter de la haute disponibilité, du haut débit et de la faible latence ?

Dès la phase conception de l’architecture physique et logique du Data Center (serveurs, réseau, stockage,…), la sécurité doit être prise en compte.

En effet, il est par exemple possible de rajouter dans l’urgence à la dernière minute, 2 firewalls en contrôle périmétrique, mais est ce bien la façon d’ apporter une cohérence globale et une sécurisation optimum sur une architecture dite stratégique ?

Quelles sont les besoins aujourd’hui en terme de sécurité ?
Trois axes majeurs ressortent systématiquement:

1. Besoin de segmentation afin d’isoler et sécuriser les LANs des Data Centers
Exemples:

  • l’environnement  serveurs de Pré-Production doit être séparé de celui de la Production
  • un hébergeur doit avoir la capacité sur une même infrastructure physique de créer des domaines virtuels totalement hermétiques entre 2 clients.

–> Solutions Cisco (non exhaustif) : vlan, VRF, VRF Lite, VDC, contextes sur ASA, security zoning, virtualisation, vnics, port profiles,Trustec,… – disponibilité des fonctions à valider par équipement : Nexus, Catalyst, routeurs Cisco, UCS, ASA, IPS next Gen,…

2. Détecter et stopper les menaces
Les menaces de type APT (Advanced Persistent Threat) sont des menaces ciblées. Elles sont uniques, aucune signature n’existe(0 days attacks)
Comment les détecter ?
Comment les bloquer et les supprimer ?

–> Solutions Cisco (non exhaustif): IPS next Gen (suite au rachat de Sourcefire), AMP (Advanced Malware Protection) dans ESA et WSA, Cisco Cyber Threat Defense (via la collecte de flux Netflow),…

3. Visibilité
Afin de pouvoir détecter et stopper efficacement ce qui se passe au sein du Data Center il est primordial de connaître l’ensemble des équipements physiques et virtuels connectés, d’en avoir une cartographie précise.

Comment apporter du contexte, de la simplicité et précision sur « qui/quoi se connecte sur quoi » ? L’ offre NAC Cisco ISE (Identity Service Engine) se positionne de façon unique sur le marché et permet d’apporter de la tracabilité et du contexte.

Je vous propose de développer lors de prochains posts chacun des points évoqués ci-dessus afin de zoomer sur les spécificités, valeurs et différenciants de chacune de nos solutions.

Mots-clefs :, , , , , ,

Cisco ESA, la solution de sécurisation des mails pour l’entreprise

Après Cisco WSA  la solution de proxy web, nous allons parler cette semaine de Cisco ESA.
Pour réaliser ce post j’ai eu le plaisir d’interviewer Frédéric Her, expert Cisco sur ces solutions.

ESA (Email Security Appliance) c’est quoi ?
C’est la passerelle leader sur le marché pour la sécurité de la messagerie. Elle permet de sécuriser efficacement les messages entrants ainsi que les messages sortants. L’interface d’administration pour ESA et WSA est commune.
ESA s’intègre avec Cisco Security Intelligence Operations (CSIO) pour fournir une sécurité optimale et en temps réel.

En plus de la gestion efficace des messages entrants, ESA fournit des services spécifiques pour les  messages sortants en intégrant notamment un moteur de DLP (Data Loss Prevention), un moteur de chiffrement, ainsi que des fonctionnalités spécifiques pour permettre à nos clients de ne pas se retrouver blacklistés.

Cette solution centralisée permet de prendre en charge  tout le trafic de messagerie d’une entreprise avec un nombre limité de boitiers matériels ou d’instances virtuelles.

Quelles sont les fonctions principales ?
–> Fonctions de base: anti spam et antivirus s’appuyant sur des moteurs de contrôle de contenu et sur des signatures
–> Fonctions évoluées et différenciantes: un filtrage en temps réel par notes de réputation et des « Outbreak filters » permettant la détection d’une pièce jointe suspecte (non connue par les anti-virus) dans un message, mais aussi la ré-écriture d’une URL suspecte  dans un mail afin de protéger l’utilisateur qui cliquerait sur l’URL. Ceci permet de se protéger intelligemment contre les risques des attaques ciblées sans risquer de générer des faux positifs.

Exemple: une entreprise peut enlever dans tous types de messages, et pas nécessairement des spams,  les urls  qui appartiennent à une catégorie définie comme non désirée (jeux,…). Les technologies utilisées sont identiques à celle utilisées pour WSA et CWS et ne nécessitent néanmoins pas l’ajout de licences spécifiques pour ESA.

Quoi de neuf avec la dernière version de ESA ?
Avec la dernière version 8.5.5 de ESA, le moteur AMP (Advanced Malware Protection) vient renchérir la solution. La technologie AMP devient un moteur complémentaire dans ESA en plus de l’anti-virus, de l’antispam et des outbreak filters.

–> Lorsqu’un message est reçu et qu’il contient une pièce jointe avec un hash connu de la base AMP, ce dernier va fournir une note de réputation au fichier (selon son niveau de dangerosité). Le fichier ne va pas être envoyé chez Cisco mais traité localement par le boitier ESA.
–> en revanche, lorsqu’un fichier n’est pas connu de la base AMP, il est alors possible d’ envoyer  son hash dans le Cloud Cisco afin qu’il soit examiné via des technologies de sandboxing/heuristiques.
–> de plus, AMP fait de l’analyse retrospective, permettant ainsi à un fichier détecté comme non malicieux dans un premier temps, d’avoir un verdict différent dans un deuxième temps. Cette information sera alors envoyée à la solution ESA, permettant ainsi à l’administrateur de savoir qu’un message délivré précédemment possède une pièce jointe infectée. Une action de “remédiation » de la part de l’administrateur pourra alors être effectuée.

En résumé, qu’est ce qui différencie ESA des autres solutions du marché ?

- Le système d’exploitation optimisé AsyncOS
- Une intégration avec Cisco SIO et un filtrage en temps réel par notes de réputation
- Un traitement antispam qui ne nécessite pas d’administration et qui ne génère pas de faux positifs
- Les outbreak filters pour les pièces jointes et les URLs
- Le moteur AMP
- Le moteur DLP et le moteur de chiffrement intégrés

Plus d’ informations sur les nouvelles versions de WSA et ESA dans des posts à venir.

Mots-clefs :, , , ,

Qu’est ce qui différencie la solution Cisco WSA des autres solutions du marché ?

Je vous propose ce post, suite à une discussion très intéressante que j’ai eu avec Christophe Sarrazin, consultant Sécurité chez Cisco.

WSA (Web Security Appliance) c’est quoi ?
WSA est un proxy web qui permet à un utilisateur d’une entreprise de « surfer » sur Internet en toute sécurité.
Toutes les transactions des utilisateurs passent par ce proxy, c’est le point central de protection des accès webs.

Quelles sont les fonctions principales de ce proxy web ?
- il scanne et regarde à l’intérieur des fichiers en utilisant antivirus et anti-spywares après avoir stocké en cache toutes les transactions (téléchargements, upload, fichiers standard, .zip,…), chaque page est analysée.
- Il permet d’authentifier les utilisateurs soit de façon transparente (pas de login/Password à insérer par l’utilisateur) ou dynamique (moins utilisé aujourd’hui).

Avec la dernière version de WSA v8, annoncée il y a quelques jours, AMP (issu du rachat de Sourcefire) vient compléter et continuer de faire  évoluer cette solution.

Que vient rajouter AMP (Advanced Malware Protection) ? : une protection anti-malwares extrêmement performante basée dans Cloud. L’ analyse des signatures des fichiers et du comportement se fait dans le Cloud.

Pourquoi dit-on que le niveau de sécurité est renforcé ?
Il est renforcé grâce à la capacité d’analyse qu’apporte le cloud (pas/plus de limitation hardware), sa très haute disponibilité et sa connexion à la base SIO.

Qu’appelle t on SIO ? Security Intelligence Operations
- une base de réputation « SensorBase » populée de façon dynamique par WSA, ESA, ASA, IPS (équipements Cisco connectés)
- une équipe qui travaille sur les nouvelles menaces/attaques pour développer les signatures et renforcer les systèmes de sécurité que Cisco à dans ces produits.

Comment fait on pour protéger un utilisateur connecté à l’entreprise et hors de l’entreprise ? mode hybride
Lors que cet utilisateur est à l’intérieur de l’entreprise, il accède à Internet, et il est protégé par le proxy web WSA.
Mais que se passe t il, lorsque ce même utilisateur rentre chez lui et, sans monter de VPN, se connecte à Internet ?
Dans une solution classique, il n’est plus protégé par la solution de protection web de l’entreprise, mais avec WSA et son connecteur Cloud web Security, l’utilisateur peut se connecter à Internet en toute sécurité (sans monter son VPN).

En conclusion, pourquoi WSA plutôt qu’une autre solution du marché ?

WSA propose :
- Une intégration avec AMP
- une intégration poussée avec SIO
- un connecteur vers la solution Cloud Web Security (pour appliances et virtuelles machines)
- une Intégration WSA avec ASA afin de permettre aux utilisateurs connectés en VPN d’ avoir une politique qui leur est propre. L’ASA renvoie le nom de l’utilisateur à WSA.
- une version virtualisée de WSA (sous forme de VM) qui peut-être installée sur UCS (Unified Computing System).

Pourquoi tout ça ?

Cisco souhaite accompagner ses clients afin de les aider à renforcer la sécurité au sein de l’entreprise et à détecter les nouvelles menaces (APTs).

Plus d’informations  sur les nouvelles versions de WSA et  ESA dans des posts à venir.

 

Mots-clefs :, , , , , ,

Tour de France Sécurité 2014

L’équipe Sécurité Cisco, en partenariat avec Imperva, MobileIron, OpenTrust et Splunk, a le plaisir de vous inviter au Tour de France Sécurité 2014 qui se déroulera en Avril/Mai dans 7 régions.

L’accélération des nouvelles technologies, BYOD, mobilité, Internet Of Thing, offres de Cloud, virtualisation et les nouveaux usages, pose des nouveaux challenges en matière de sécurité.

Lors de cette journée, nos experts présenteront les architectures Cisco et solutions de l’écosystème permettant de répondre à vos besoins.

Ce tour de France accueillera clients finaux et partenaires et couvrira les thèmes suivants :

  • comment protéger son entreprise en temps réel contre la complexité des menaces venant d’internet ?
  • de la Machine Data à la Security Intelligence
  • gestion des contrôles d’accès de l’entreprise avec Identity Service Engine (ISE)
  • le chemin vers l’entreprise Mobile First. Tranquilité pour la DSI
  • protégez vos applications, vos données et vos mobiles
  • les évolutions de la sécurité dans le Data Center
  • la sécurité des données en environnement DataCenter
  • comment se protéger contre les menaces persistantes (APT)

Ne tardez pas à vous inscire

Mots-clefs :, , , , , , , , , ,

Annonces Cisco lors de la RSACONFERENCE

Comme tous les ans, la RSACONFERENCE a ouvert ses portes du 24 au 28 Février au Moscone Center de San Francisco.
Christopher Young, Cisco Senior VP de la Business Unit Sécurité, accompagné de Padmasree Warrior CTO monde, ont présenté le nouveau modèle de sécurité dans le contexte actuel et vers une évolution rapide de l’Internet of Thing.

En effet, il est prévu que d’ici 2020, 50 milliards d’objects soient connectés. Il y a 5 ans, seulement un milliard d’objets étaient connectés.

La sécurité rentre dans une aire multi-dimentionnelle guidée par l’utilisation que nous faisons de ces objects (rôle de la data stratégique pour les banques, confidentialité pour la santé, aviation, train,…)

Afin de répondre aux problématiques actuelles et de demain, Chris Young a présenté un modèle de sécurité en 3 phases :

- « Visibilité » : connaître son environnement, son réseau. Cela peut paraître basique mais c’est réellement le point de départ d’une approche sécurisée consistente.

- « Détection des menaces » (Threat Awarness), les APTs sont de plus en plus virulentes.

- « Action » : comment je bloque la menace lorsque je sais qu’elle est présente ?

Concernant la « visibilité », en complément de l’offre existente, Cisco a annoncé OpenAppID

OpenAppID est un langage Open Source qui va permettre à la communauté  des développeurs de détecter et contrôler rapidement de nouvelles applications.

Cisco lance aussi une initiative globale afin de sécuriser l’Internet Of Thing, cette initiative s’appelle Cisco Security Grand Challenge.

L’objectif de cette initiative est d’ouvrir à la communauté des experts en sécurité la possiblité de soumettre des blueprints afin de résoudre certains des gros challenges actuels et à venir.

D’autres annonces  importantes ont été faites par Cisco lors de ce salon, je vous laisse le découvrir cette semaine lors du prochain post.

 

 

 

 

 

 

 

 

Mots-clefs :, , , , ,

Cisco Cyber Threat Defense (CTD) Solution

Je l’ai déjà évoqué dans des posts précédents, les menaces ont évolué ces dernières années.

Screen shot 2014-02-24 at 6.32.10 PM

– Dans les années 1990, on voit apparaître les « virus ». Ils se propagent suite à des actions utilisateurs (ex disquette dans le PC). La méthode de propagation est plutôt lente pour atteindre un ensemble d’équipements.

Mode de défense : anti-virus, firewalls

– Dans les années 2000, on a vu apparaître une nouvelle forme de menace, le « worm ». Son objectif est de se propager le plus rapidement possible sur le plus grand nombre d’équipements.

Mode de défense : IDS/IPS

– Après 2000, place au « botnet ». Un ensemble de serveurs sur Internet sont en attente de communication de PC compromis (ouverture de connexion de l’intérieur de l’entreprise vers l’extérieur).

Mode de défense : Reputation (indice de confiance des devices sur Internet), DLP, Next Gen Firewall,…

– Et puis, aujourd’hui et depuis quelques années, place aux APT (Advanced Persistent Threat) qui sont des attaques ciblées et furtives. Exemple pour ne pas le citer :  Stuxnet en Iran (Juin 2010)

Mode de défense : visibilité et contexte

Tous les menaces antérieures aux APT restent bien sur pertinentes et sont un point de passage obligatoire dans une architecture correctement sécurisée.

- Comment gérer les APTs sur un réseau Lan d’entreprise ou de Data Center ?

- Comment apporter de la visibilité et du contexte pour détecter les comportements anormaux ?

La réponse : Cisco Cyber Threat Defense (CTD) Solution 

Cette solution est basée sur 2 composants principaux :

  • le réseau ayant la capacité de voir la totalité des flux en utilisant netflow v5/v9. Pour rappel, netflow est une innovation Cisco, aujourd’hui standardisée permettant l’export de données (entête du paquet IP).
  • La solution de la société Lancope (OEM Cisco) permettant de collecter les flux netflow et de les analyser via un algorithme très perfectionné. Cette solution est utilisée par Cisco en interne.

A partir de cette solution CTD,  il est alors possible sur un réseau Lan de détecter les comportements anormaux de machines (ex: station faisant du scanning de port).

De plus, la solution Cisco ISE (Identity Services Engine) vient s’ interfacer à CTD permettant ainsi d’apporter une notion d’identité et de type de device, c’est à dire de nommer de façon précise l’ utilisateur ou le  type d’équipement qui génère cette attaque.

Evolution of Cyber Threats

Pour en savoir plus, je vous invite à participer au webinar du  27 Mars prochain de 14h à 15h. Cette session sera animée par notre expert Sécurité spécialiste CTD, Pascal Delprat.

Inscription :  ici

Mots-clefs :, , , , , , ,

Attack Continuum

La sécurité chez Cisco est une architecture à part entière au même titre que l’ Entreprise Network (EN), la Collaboration et le Data Center.

Les menaces ont beaucoup évolué ces dernières années devenant de plus en plus perfectionnées et pour certaines d’entre elles dormantes avant d’entrer en action. On les appelle Advanced Persistent Threat « APT » (Cheval de Troie évolué).

C’est ainsi que Cisco décompose en 3 phases le cycle de vie d’une menace afin de pouvoir détecter et bloquer tous types d’attaques.

Screen shot 2014-02-10 at 6.05.39 PM

Avant l’attaque : il s’agit de mettre les bonnes règles de filtrage et créer une architecture segmentée appropriée
Pendant : comment bloquer, stopper et empêcher que les attaques ne s’exécutent correctement
Après : comment s’assurer qu’il n’y a pas d’attaques dormantes (APT)

Je vous propose de regarder cette vidéo qui explique:
- pourquoi la sécurité est une priorité chez Cisco
- le cycle de vie d’ une menace et ses 3 phases (Before – During – After)
- l’approche framework d’une architecture sécurisée afin de simplifier l’administration et diminuer les coûts opérationnels.

En conclusion, quelque soit le projet IT, la sécurité doit-être prise en compte dès le début et se doit d’accompagner tout le cycle de vie d’un projet afin d’assurer la protection maximum d’une architecture IT.

Mots-clefs :, , , , , ,

Petit-Déjeuner client « Protection en temps réel contre la compléxité des menaces » le 4 Février matin à Issy-Les-Moulineaux

Comme mentionné dans mon post du 19 Janvier, l’augmentation des vulnérabilités et menaces informatiques atteignent un niveau record depuis 2000 (Rapport Annuel Cisco de la Sécurité).

Le web est une cible majeure aujourd’hui.

Lorsque nous utilisons un browser à l’intérieur de l’entreprise ou lors d’un déplacement ,  il est indispensable de se prémunir contre ce type d’attaques.

- Avez vous une protection optimale pour votre messagerie et pour les accès Internet utilisateurs ?

- Avez vous une protection Zero-Day ?

Nous vous proposons de répondre  à l’ensemble de vos questions et problématiques lors de ce petit-déjeuner, le mardi matin 4 Février, chez Cisco France à Issy-Les-Moulineaux, à partir de 9h00.

Informations et Inscription en ligne : ici

Mots-clefs :, , , , ,

Cisco présent au 6ème Forum International de la Cybersécurité (FIC 2014)

Mardi 21 et mercredi 22 Janvier 2014 se tenait à Lille le 6ème Forum International de la Cybersécurité.

Screen shot 2014-01-23 at 10.39.11 PM
La session d’ouverture présentée sous forme de table ronde, abordait d’emblée un sujet épineux  « La Cyber sécurité est elle un échec ? ».
Michel Picot de BFM Business animait le débat avec de prestigieux invités comme par exemple Patrick Pailloux, Directeur de l’ANSSI.

Manuel Walls et Jean-Yves Le Drian sont aussi intervenus pour parler, entre autre,  des étapes qui vont faire suite à la Loi de Programmation Militaire(LPM) votée le 19 Décembre dernier.
Pour mémo, ce projet de loi à pour objet la mise en œuvre des orientations de la politique de défense française pour les six prochaines années.

Cisco/Sourcefire était présent pendant ces 2 jours afin de rappeler que l’offre de sécurité de Cisco n’est pas une offre de produits que l’on achète pour répondre seulement à un besoin ponctuel, mais est bien une solution/architecture adaptée aux besoins de nos clients.

En effet, l’augmentation d’année en année des APT (Advanced Persistent Threat), attaques ciblées et persistantes, impose la mise en place d’ une architecture sécurisée complète et cohérente faisant référence à l’approche en 3 phases ci-dessous (citée dans mon post précédent).

Screen shot 2014-01-17 at 5.46.48 PM

Mots-clefs :, ,