Gigasecure veut améliorer la visibilité sur le trafic réseau

C’est en novembre dernier que Gigamon a lancé GigaSecure, sa plateforme visant apporter à la cybersécurité une visibilité jusqu’ici réservée aux équipes d’administration réseau, et annoncée quelques mois plus tôt.. Pascal Beurel, ingénieur commercial sénior Europe du Sud pour Gigamon, présente cette plateforme comme un « agrégat de fonctionnalités permettant de délivrer un trafic applicatif et réseau aux outils de sécurité – DLP, IDS, IPS, etc ». Ces derniers accèdent à la plateforme via des API, de manière unidirectionnelle pour certains, ou bidirectionnelle pour d’autres comme les filtres de protection contre les logiciels malveillants et les IPS.

Le spécialiste de la visibilité réseau ne s’était pas lancé seul dans cette aventure. Il y a un an, il avait ainsi annoncé le soutien de FireEye, mais également ceux de RSA, Check Point, Damballa, Fortinet, Imperva, Lastline, LightCiber, LogRythm, ou encore Niara. Sans compter le lancement d’une application dédiée à Splunk.

Les nœuds de supervision réseau GigaVUE et GigaVUE-VM sont au cœur de la plateforme GigaSecure. Mais celle-ci ne s’arrête pas à cela. Pascal Beurel explique que la plateforme offre des capacités de déchiffrement SSL pour « éliminer les angles morts susceptibles de cacher des logiciels malveillants ». Un déchiffrement réalisé hors bande, sur une copie du trafic réseau. S’ajoutent à cela des capacités de filtrage du trafic, « jusqu’à la couche 7 du modèle OSI pour aller chercher des signatures applicatives spécifiques pour en isoler trafic ».

A cela vient s’ajouter une fonctionnalité de contournement en ligne, inlin bypass, « pour interfacer des IPS qui sont normalement connectés en ligne sur le réseau ». De quoi leur faire profiter d’une agrégation de liens permettant d’élargir le périmètre qu’ils surveillent, mais également de simplifier leur maintien en conditions opérationnelles ou encore la mise en œuvre d’une stratégie d’équilibrage de charge et de haute disponibilité.

L’un des apports de GigaSecure est à chercher du côté des nœuds GigaVUE-VM qui permettent de récupérer le trafic est-ouest entre machines virtuelles et qui ne transite pas sur le réseau physique. De quoi, là encore, gagner en visibilité. Pascal Beurel explique l’approche : « nous essayons de conjuguer mondes physique et virtuel sur une même plateforme pour délivrer une visibilité complète, de bout en bout, aux outils de sécurité ». GigaVUE-VM supporte les environnements ESX/NSX-V ainsi que OpenStack/KVM.

Enfin, la plateforme de Gigamon intègre des capacités de génération d’informations Netflow destinées aux collecteurs orientés sécurité, comme ceux de Lancope dont Cisco a annoncé le rachat à l’automne dernier. Et c’est loin d’être anodin.

Dans une note d’information de janvier 2015, David Mashburn, instructeur de l’institut SANS, soulignait l’intérêt de l’analyse des données Netflow en sécurité : « elles peuvent être utilisées pour identifier des variations dans les modèles de trafic établis, le trafic venant de systèmes critiques, et les communications avec des acteurs extérieurs malicieux connus ».

A l’occasion de la dernière édition de la conférence RSA, Gigamon a ajouté à GigaSecure un outil d’enrichissement des tickets Netflow/IPFIX par des métadonnées portant sur les URL/URI, les requêtes SIP, les réponses http, ou encore les requêtes DNS et DHCP. Le tout pour « suralimenter les solutions SIEM et d’analyse de sécurité » afin d’améliorer leurs capacités de détection.