Inok - Fotolia

Aperçu de Lancope StealthWatch FlowCollector

L’expert Dan Sullivan se penche sur cet outil dédié à l’analyse de vastes volumes de données à la recherche d’activités suspectes.

La majorité du trafic transitant sur le réseau d’une organisation est probablement bénigne. Mais quid de cette petite fraction qui ne l’est pas ? Comme faire la différence entre les deux avant qu’il ne soit trop tard ?  C’est le défi qui a poussé au développement d’outils analytiques tels que StealthWatch FlowCollector de Lancope, racheté par Cisco à l’automne 2015.

Analyser le trafic réseau

Les produits analytiques de sécurité sont conçus pour collecter un vaste éventail de types de données, pour ensuite les intégrer, les analyser, et classifier contenus et événements pour permettre aux administrateurs sécurité et systèmes d’identifier des activités potentiellement malicieuses. Certains outils se concentre sur le trafic réseau, tandis que d’autres ingèrent des données de sources plus diverses comme les logs des serveurs ou des points de terminaison. La caractéristique commune à tous est la capacité à intégrer de grands volumes de données et à rapidement identifier les activités suspectes.

Comme d’autres, StealthWatch FlowCollector de Lancope, vise à consolider les données venant des équipements réseau : routeurs, commutateurs et pare-feu. Il utilise les données NetFlow et IPfix du trafic pour remplir sa fonction.

Les données collectées sur les routeurs sont utilisées pour analyser le trafic entrant et sortant. Mais StealthWatch FlowCollector tient également du trafic entre équipements au sein du réseau, une source d’informations particulièrement importante pour détecter les activités malicieuses survenant au sein du périmètre de l’organisation et n’impliquant ni trafic entrant, ni trafic sortant.

L’élasticité est toujours importante lorsqu’il s’agit de capter le trafic réseau. Une unité StealthWatch FlowCollector est conçue pour supporter jusqu’à 4 000 équipements générant jusqu’à 240 000 flux par seconde. Au mieux de ses possibilités, un système StealthWatch FlowCollector correctement configuré peut traiter jusqu’à 50 000 sources et six millions de flux par seconde. StealthWatch FlowCollector peut en outre détecter les données redondantes.

L’anomalie de l’un est la norme de l’autre

Le concept de comportement anormal sur un réseau est simple à comprendre : il s’agit de quelque chose qui sort de l’ordinaire. Le premier travail d’un système de détection d’anomalies consiste donc à déterminer un modèle de la norme pour le réseau à surveiller. StealthWatch FlowCollector l’établit pour l’ensemble du trafic IP et se base sur ce modèle pour détecter les anomalies, tant dans le trafic réseau que dans le comportement des hôtes de l’infrastructure.

StealthWatch FlowCollector intègre ainsi des capacités d’analyse centrées sur les hôtes, avec profilage système et applicatif. Ce qui peut être utile pour détecter l’utilisation d’un hôte sortant de la normale.

Qui plus est, ce produit propose des fonctions de reporting sur l’activité des appareils : comportement d’hôte, suivi d’interface de routeur, ou encore comptabilité sur la bande passante. Il intègre également des indicateurs de performance au niveau des paquets et du reporting de qualité de service.

Lancope StealthWatch FlowCollector peut également aller au-delà de la simple supervision des flux réseau et signaler des hôtes et serveurs non autorisés ou encore des pare-feu mal configurés.

Conclusion

Détecter les activités malicieuses est difficile, même avec de vastes volumes de données et les méthodes d’analyse statistique les plus avances. Les références de normalité peuvent d’ailleurs changer avec le temps, même si ce n’est que très lentement. Ce qui peut affecter les taux de faux positifs. Il convient donc de faire preuve de beaucoup de prudence lorsque l’on cherche le bon équilibre entre minimisation du nombre de fausses alertes et besoin de ne pas passer à côté d’une véritable alerte.

Une activité malicieuse sur l’infrastructure laisse probablement des traces dans le trafic réseau, ce que des produits comme StealthWatch FlowCollector peuvent détecter. Cet outil peut déterminer un modèle d’activité normale et identifier des variations de cette norme, puis alerter les administrateurs. Il est particulièrement utile aux administrateurs et professionnels de la sécurité ayant besoin de superviser les activités sur le réseau au sein d’infrastructures complexes.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close