Sécurité réseau : Les quatre piliers de la sécurité des points de terminaison

Se concentrer sur ces aspects fondamentaux de la sécurité réseau permet de laisser les méchants à la porte et de conserver les bonnes données à l'intérieur.

Dan Griffin

Les réseaux d'entreprise et leurs actifs subissent constamment des attaques de pirates cherchant à s'introduire dans les systèmes. Pour ne rien arranger, le périmètre du réseau d'entreprise est totalement perméable. Lorsqu'elles travaillent sur une infrastructure informatique sécurisée, la plupart des entreprises ont pour objectif de maintenir une continuité sans interruption de l'activité. Cela dit, puisque les pirates peuvent mettre à mal l'ordinateur d'un utilisateur, un périphérique mobile, le serveur ou une application, les environnements d'entreprise sont fréquemment arrêtés.

Un déni de service distribué (DDoS) est un type d'attaque qui peut provoquer un manque de bande passante. Il est important de remarquer qu'il existe de nombreux autres problèmes pouvant également provoquer une charge excessive sur le réseau. Par exemple, le partage de fichiers de pair à pair, l'utilisation soutenue de la diffusion vidéo en ligne, d'un serveur interne ou externe aux heures de pointe (le début des soldes dans le secteur de la vente au détail) peuvent tous ralentir le réseau, à la fois pour les utilisateurs en interne et les clients en externe.

La diffusion vidéo est un très bon exemple d'application qui consomme beaucoup de bande passante et il existe de nombreux types d'entreprises qui en deviennent hautement dépendants pour leurs opérations professionnelles principales. Les sociétés réparties sur plusieurs sites géographiques l'utilisent pour leurs communications entre les bureaux, les sociétés de gestion de la marque l'utilisent pour les campagnes dans les médias et l'armée l'utilise pour le commandement et le contrôle.

Ces conditions ont entraîné une situation précaire. DDoS est une attaque qu'il est simple de lancer, la diffusion vidéo est très sensible à la disponibilité en bande passante, les réseaux sont déjà lourdement chargés, même dans le meilleur des cas et la dépendance des entreprises à ces technologies ne cesse d'augmenter.

Les responsables informatiques doivent être prêts. Il leur faut changer cette vieille méthode de penser et de planifier l'utilisation des ressources, la protection des périphériques du réseau et la protection de cette bande passante réseau critique. Ce modèle de sécurité des points de terminaison peut aider à aligner ce mode de pensée sur les réalités d'aujourd'hui.

Quatre piliers

Le principe fondamental de ces quatre piliers consiste à permettre au réseau de fonctionner, même au cours d'une attaque. Tout d'abord, il faut identifier les points de terminaison. Qu'est-ce qu'un point de terminaison ? Dans ce modèle, un point de terminaison est l'un des éléments suivants, là où le travail s'effectue : ordinateurs de bureau, serveurs et périphériques mobiles.

En gardant ces points de terminaison à l'esprit, il est essentiel de disposer d'une stratégie visant à les protéger. Cette stratégie, c'est-à-dire les quatre piliers de la sécurité des points de terminaison, présente les objectifs suivants :

• Protéger le point de terminaison contre les attaques
• Permettre la réparation automatique du point de terminaison
• Protéger la bande passante du réseau
• Permettre la réparation automatique du réseau

Avec ces objectifs à l'esprit, voici les quatre piliers de la sécurité efficace des points de terminaison :

• Renforcement des points de terminaison
• Résilience des points de terminaison
• Hiérarchisation du réseau
• Résilience du réseau

Pour chaque pilier, il existe plusieurs objectifs supplémentaires à prendre en compte. Il est tout d'abord recommandé d'automatiser autant que possible le processus. N'oubliez pas que les heures d'une journée ne sont pas extensibles et que les agendas des responsables informatiques sont déjà pleins.

Ensuite, vous devez contrôler votre réseau de manière centrale afin de savoir ce qui se passe en temps réel. Bien que l'un des objectifs des deux piliers de résilience soit de réduire autant que possible ce fardeau de surveillance, il vous faut parfois mettre en œuvre des défenses et des contre-mesures manuelles. De plus, il arrive que le matériel tombe en panne, même dans des conditions normales d'utilisation.

Troisièmement, mettez en place un système de retours. Puisque les attaques sont de plus en plus sophistiquées, nous devons reconnaître que nos défenses ne vont pas pouvoir suivre le rythme à moins de faire les bons investissements pour les améliorer. Dans le même temps, il nous faut reconnaître que les investissements dans la sécurité du réseau se sont historiquement avérés difficiles à justifier comme dépenses professionnelles critiques.

C'est pourquoi une surveillance et un retour constants sont essentiels. Mieux nous comprenons, et pouvons illustrer, les menaces et les attaques réelles portées sur notre périmètre et dans le réseau, plus nous pouvons justifier l'attention attirée et les frais payés sur la protection de ces actifs de l'entreprise.

Renforcement des points de terminaison

L'objectif du premier pilier (le renforcement des points de terminaison) est de garantir que les actifs du réseau utilisent les dernières technologies pour se défendre contre les menaces. Les menaces type comprennent les pièces jointes dangereuses, les virus de type vers qui se propagent sur le réseau et tous les autres équivalents qui menacent vos navigateurs Web.

Les logiciels antivirus ou de protection contre les programmes malveillants font partie des contre-mesures d'attaque. Vous pouvez aussi isoler (ou mettre en sandbox) les processus d'applications informatiques des programmes malveillants potentiels via les niveaux d'intégrité obligatoires appliqués par le système d'exploitation. Ce type de protection est appliqué aux versions 7 et 8 d'Internet Explorer sur Windows Vista et Windows 7.

Pour améliorer la situation, il serait bon de pouvoir déployer et gérer de manière centrale les paramètres d'isolation de l'ensemble de l'hôte. Pour que cela fonctionne, il faut le réaliser d'une manière telle que les applications tierces fonctionnent sans difficulté (et sont protégées).

Comment la surveillance s'applique-t-elle à ce pilier ? Vous devez surveiller, et ce de manière évolutive, les actifs du réseau contre les intrusions sur le terrain. Vous devez également rechercher les modèles de comportement inattendus.

Résilience des points de terminaison

L'objectif de la résilience des points de terminaison consiste à garantir que les informations d'intégrité des périphériques et des applications soient continuellement collectées et vérifiées. Ces périphériques ou applications peuvent ainsi être automatiquement réparées, ce qui permet de poursuivre les opérations.

Les technologies suivantes sont des exemples permettant d'améliorer la résilience des points de terminaison : Protection d'accès réseau, configuration de base et outils de gestion tels que Microsoft System Center. Pour améliorer ce domaine, il serait bon de marier ces technologies afin de produire un comportement de réparation automatique selon des configurations de base normalisées et faciles à étendre.

Comment la surveillance s'applique-t-elle à ce pilier ? Pensez à des tendances dans n'importe lequel des domaines suivants : Quels ordinateurs ne sont plus conformes, de quelle manière et à quel moment cet état de non-conformité se produit-il ? Toutes ces tendances peuvent mener à des conclusions au sujet des menaces potentielles, qu'il s'agisse d'une menace interne, externe, d'une erreur de configuration, d'une erreur effectuée par un utilisateur, etc. De même, lorsque vous identifiez les menaces de cette manière, vous pouvez rendre en permanence les points de terminaison plus résistants face à des attaques de plus en plus sophistiquées et répandues.

Hiérarchisation du réseau

L'objectif de la hiérarchisation du réseau consiste à garantir que votre infrastructure puisse toujours satisfaire les besoins en bande passante des applications. Cette prise en compte ne s'applique pas seulement aux périodes des heures de pointe bien connues, mais aussi aux moments de pics inattendus sur les charges réseau et lors d'attaques réparties externes et internes.

Parmi les technologies pouvant gérer la bande passante des applications, on trouve DiffServ et QoS. Ce pilier représente cependant le plus grand fossé technologique actuel séparant ce dont on a besoin et ce qui est disponible sur le marché. À l'avenir, il serait utile de disposer de solutions visant à intégrer l'identité de l'utilisateur, de l'application, ainsi que les priorités professionnelles. Ensuite, les routeurs réseau pourraient créer automatiquement des partitions de bande passante en s'appuyant sur ces informations.

Comment la surveillance s'applique-t-elle à ce pilier ? Les routeurs réseau devraient réaliser la journalisation des flux pour effectuer l'analyse des tendances. En quoi les flux d'aujourd'hui sont-ils différents de ceux d'hier ? Existe-t-il une charge accrue ? Quelles sont les nouvelles adresses impliquées ? Sont-elles situées à l'étranger ? Une surveillance efficace et complète peut aider à trouver les réponses à ces questions.

Résilience du réseau

L'objectif de la résilience du réseau consiste à permettre un basculement des actifs sans souci. Dans ce domaine, les techniques permettent idéalement de reconfigurer le réseau en temps réel pendant que les performances se dégradent. Ce pilier est proche de la résilience des points de terminaison dans le sens où l'objectif est de faciliter une auto-réparation pour minimiser le fardeau de la gestion.

Cela dit, ce pilier attire également l'attention sur le fait que le basculement et la redondance doivent être pris en compte à grande échelle comme à petite échelle. Par exemple, vous pouvez utiliser la technologie de mise en clusters afin de permettre le basculement d'un seul nœud dans un centre de données, mais comment basculer un centre de données entier ou une région entière ? Nous admettons tous que le défi de la planification de la récupération après incident est plus vaste encore, car il implique de prendre également en compte l'espace du bureau, les services de base et, le plus important, le personnel.

Outre la mise en clusters, la réplication et la virtualisation constituent d'autres technologies adéquates pour ce pilier. Comment la surveillance s'applique-t-elle à ce pilier ? Les technologies de basculement s'appuient généralement sur la surveillance. De plus, vous pouvez employer les données de chargement pour la planification des ressources et des acquisitions lorsque les besoins de l'activité évoluent.

Satisfaire chaque pilier

Pour chacun de ces quatre piliers de sécurité des points de terminaison, il se peut qu'il existe des technologies de sécurité, de continuité des réseaux et de l'activité sous-utilisées ou pas encore déployées par la plupart des entreprises. Les responsables informatiques disposent donc des opportunités suivantes :

• Utilisez les quatre piliers ou toute autre structure pour identifier les menaces et les failles de vos défenses des réseaux.
• Réalisez des investissement supplémentaires dans l'automatisation et la surveillance.
• Travaillez plus étroitement avec les décideurs de l'entreprise quant aux coûts et avantages de ces efforts.

Il se peut que certaines sociétés se trouvent déjà à la pointe de ce qui existe dans l'un ou plusieurs de ces piliers. Il existe ainsi une multitude d'opportunités pour l'entrepreneur également. Le véritable élément critique est de restructurer votre mode de penser pour prendre en compte chacun de ces quatre piliers, puisque chacun est essentiel.

Dan Griffin est consultant en sécurité logicielle basé à Seattle. Vous pouvez le joindre à www.jwsecure.com

 

Contenu associé

• Windows 7 : Une super sécurité dans Windows 7
• Microsoft Forefront : Utilisation de Microsoft Forefront TMG 2010 comme passerelle Web sécurisée
• Touche-à-tout informatique : AppLocker : La panacée en matière de sécurité informatique ?