Cisco ETA, où comment rendre visible l’invisible – Part 2
Trois exemples de l’utilité et de la nécessité d’ETA
Les cas d’usages d’ETA sont nombreux, mais j’aimerais en présenter trois qui me semblent être les plus intéressants, afin d’illustrer la nécessité d’ETA :
Limites de la décryption SSL
La décryption SSL est une façon de se protéger des attaques et des menaces utilisant l’encryption, cependant il existe certaines limites à cela :
- Les organisations IT ne sont pas toujours autorisées à décrypter tout trafic encrypté, soit de par la loi, par compliance ou par respect de la vie privé des collaborateurs (i.e. un employé qui va consulter son site de e-banking au bureau)
- L’impact sur la performance des FW est très important dès lors que celui-ci fait du SSL-decryption.
- La gestion des différents certificats SSL peut s’avérer complexe et couteuse en ressources humaines et en temps.
Avec ETA, on ne regarde pas le contenu des paquets mais uniquement les métadonnées collectées par le réseau. On peut donc observer l’intégralité du trafic encrypté et ce avec un impact minime sur la performance du réseau. Au lieu d’implémenter soit ETA, soit du SSL-Decryption, ces deux mécanismes peuvent travailler ensemble, en décryptant certains trafics encryptés après avoir été identifié par ETA comme « à risque ». On économise ainsi des ressources sur le firewall, sans compromettre la sécurité de l’organisation.
Le Certificate Pinning ou que faire quand les clés d’encryptions nous échappent ?
Le certificate pinning (ou HTTP Public Key Pinning – HPKP) est un mécanisme utilisé par plusieurs sites web utilisant HTTPS (i.e. google.com, facebook.com), qui transmettent une liste de clés publiques afin d’établir une connexion sécurisée et trustée vers ces sites. La clé privée reste, elle, en possession des sites internet. Dans ce cas, le SSL-decryption est impossible et nous n’avons aucune visibilité sur ce trafic. La porte reste donc grande ouverte aux menaces.
Avec ETA, pas besoin de posséder les clés d’encryptions pour observer le trafic (encore une fois, on se contente d’observer les métadonnées et non le contenu encrypté des paquets), donc le certificate pinning n’a aucun impact sur la performance d’ETA.
Conformité dans le secteur du paiement bancaire
En plus d’aider à détecter les menaces, ETA peut être utilisé comme outil de compliance cryptographique dans tout secteur d’activité, notamment celui des cartes de paiements. En effet, au 30 Juin 2018, SSL/TLS 1.0 ne sera plus en conformité avec le standard PCI DSS, et TLS 1.1 ou 1.2 (recommandé) voir TLS 1.3, devra être utilisé. Avec ETA, les équipes IT auront l’outil nécessaire pour monitorer le respect de cette conformité, et en cas de non-respect, d’identifier les systèmes incriminés afin de prendre les actions correctives nécessaires.
Enfin, concluons cet article par une très bonne nouvelle ! Miercom vient de valider la performance d’ETA, lors d’un test indépendant. ETA a été jusqu’à 36% plus rapide pour détecter les menaces (par rapport à un environnement sans ETA), et a identifié 100% des menaces en moins de 3 heures (et l’on sait que le Time-To-Detect est un des aspects les plus important lors d’une attaque).
ETA est donc officiellement Mirecom Performance Verified ! Le rapport est ici.
Dans la troisième et dernière partie, nous verrons les bénéfices d’approcher la cyber-sécurité comme architecture globale, afin, comme toujours, de mieux se protéger.
Tags:
