Sécurité dans un environnement Web 2.0 : L’anti-malware
Souvenez-vous, avant les vacances, j’avais évoqué les limitations des solutions actuelles à sécuriser l’usage du web qui a fortement évolué ces derniers temps. Bon, si vous ne vous souvenez pas, il n’est pas interdit de relire les post précédents… Bref, l’objectif en cette rentrée (certes nous sommes déjà en octobre et la rentrée devrait être loin, mais la rentrée du blog sécurité s’est faite attendre :-)), c’est d’aborder les solutions pour ramener usage acceptable et sécurité dans les environnements web2.0 (nous parlons ici de solution côté client, c’est à dire protéger le surf des utilisateurs). L’approche Cisco pour la sécurisation des flux web des entreprises repose sur la solution Cisco IronPort Web Security Appliance (WSA) et sur l’offre SaaS Cisco ScanSafe. Dans un premier temps, intéressons nous à l’approche appliance : WSA est la première solution du marché à combiner dans un seul et même boitier une défense anti malware en profondeur, multi niveaux, des fonctions de politique d’usage acceptable, et de sécurité des données. Ce système de défense à plusieurs niveaux, en conjonction avec un proxy Web extrêmement puissant, garantit non seulement une amélioration significative des performances, mais aussi une fiabilité supérieure à celle des systèmes classiques.
Cisco SIO
Cisco Security Intelligence Operations représente l’infrastructure de suivi des menaces et de génération des contre mesures de Cisco. Cette structure comprend plus de 500 analystes répartis autour du globe dans des Threat Operation Center (TOC) en 24/24 7/7. Ces analystes ont en charge notamment l’exploitation de Cisco SensorBase, le plus ancien et le plus vaste réseau de surveillance du trafic e-mail, web, et du trafic suspect mondiaux. SensorBase collecte des données provenant de pas moins de 130 000 réseaux différents à travers le monde, soit 700 000 équipements remontant des informations, représentant par exemple plus de 30% du trafic e-mail planétaire et 5 milliards de requêtes web, et surveille plus de 200 paramètres distincts relatifs une adresse IP émettant du trafic mail ou hébergeant un service web. SensorBase contrôle donc un grand nombre de paramètres réseau concernant toute adresse IP hébergeant un serveur Web, comme l’historique du site, son pays, son volume de trafic, sa présence sur des listes noires ou blanches, etc.
Plus de 600 sources externes (CERT, white et black list, …) viennent enrichir SensorBase. En accédant à un très large échantillon de données, SensorBase est ainsi en mesure d’évaluer avec une extrême précision le comportement et la réputation de chaque expéditeur ou de chaque site. SensorBase applique des algorithmes qui analysent ces paramètres de niveau réseau et en tirent un «score de réputation » (e-mail ou Web) compris entre -10 et +10. Ce score est ensuite communiqué en temps réel aux équipements Cisco IronPort lorsqu’un utilisateur tente d’accéder à un site.
L’équipe veille à l’actualisation et à la précision des données SensorBase, afin que les administrateurs puissent s’en remettre à celles-ci pour automatiser la sécurité e-mail et Web, et la prévention des Intrusions. L’empreinte unique de SensorBase, à la fois en terme de quantité d’infirmation remontée et en terme de diversité des vecteurs d’attaques (information sur les attaques mail, web, et attaques ciblées via les IPS), permet de corréler les informations et de garantir des scores de réputation pertinents et proactifs.
Fonctions Anti-malware innovantes intégrées à Cisco IronPort WSA
Pour être efficace face au malware, la technologie Cisco IronPort WSA combine plusieurs techniques : Une approche proactive grâce aux filtres de réputation web, et une approche réactive grâce à l’analyse de contenu
Les filtres de réputation Web, une approche unique
Les filtres de réputation exploitent les 200 paramètres Web et réseau, spécifiques et pondérés, analysés par SensorBase au sein de la structure Cisco SIO. Sur la base des notes de réputation ainsi calculées (s’échelonnant de -10 à +10), les accès aux URL correspondantes sont filtrés en temps réel. Suivant les réglages, les sites Web ayant une « mauvaise réputation » sont bloqués, tandis que les autres requêtes peuvent faire l’objet d’une analyse supplémentaire. L’analyse de réputation porte non seulement sur la requête initiale de l’utilisateur, mais aussi sur chacune des demandes suivantes du navigateur, par exemple pour incorporer des contenus multimédias qui peuvent être hébergés sur différents serveurs Web. 70% des malware sont ainsi bloqués directement à la connexion, de façon proactive, sans analyse de contenu.
L'ensemble des objets composant les pages web est analysé
Il est important de noter que les filtres de réputation web analysent chaque requête que le navigateur fait (de la requête HTML initiale aux requêtes suivantes pour récupérer chacun des objets composant la page), qui peuvent provenir de plusieurs domaines. Ainsi, dans le cas d’un site légitime piraté qui contiendrait une redirection transparente de l’utilisateur vers une adresse distribuant un malware, seule cette dernière requête sera bloquée pro activement grâce aux filtres de réputation : L’utilisateur accède à son site web, mais totalement protégé. Dans le cas d’une note neutre ou intermédiaire (par exemple entre -5 et +5), WSA peut alors pratiquer un déchiffrement SSL sélectif. Les flux HTTPS provenant de sites à la réputation douteuse seront ainsi déchiffrés pour être inspectés, alors que la confidentialité des flux HTTPS légitimes sera respectée. Les transactions SSL vers des sites à mauvaise réputation seront systématiquement coupées au niveau de la connexion, ne nécessitant donc pas non plus de déchiffrement.
En fonction de la réputation l'objet est bloqué, autorisé, ou passe par une analyse plus poussée
Enfin, Les filtres de réputation web sont mis à jour en temps réel grâce à la connexion avec SensorBase, simplifiant grandement l’administration des Appliances.
Le filtrage de contenu
Cisco IronPort Anti-Malware System scrute et contrôle les contenus Web en se référant à des signatures de codes malveillants. Pour ce faire, le système combine de multiples bases de signatures anti-virus/Anti-malware leaders du marché avec le moteur exclusif Cisco IronPort DVS (Dynamic Vectoring & Streaming). Le moteur DVS a notamment la particularité d’effectuer les scans en mode « streaming », sans avoir besoin de télécharger entièrement les objets analysés. Il en résulte un débit élevé et des temps de latence réduits, qui autorisent pour la première fois la mise en œuvre de fonctions d’analyse poussées sur une passerelle HTTP. Des systèmes de rapports sont bien évidemment disponibles afin de visualiser les attaques évitées et les tendances historiques. Voilà comment l’on se protège du malware avec WSA. Un prochain article reviendra sur la notion d’usage acceptable du web…
Tags:
