Solutions de sécurité réseau

Détecter, identifier et résoudre les violations de sécurité grâce aux données sur le réseau

Les informations sur la sécurité réseau sont un gage de détection des menaces en temps réel et d’assurance post-événements pour les réseaux d’entreprise grâce à l’analyse du comportement du trafic dans la durée et au stockage des conversations en vue d’enquêtes post-événements.

Renforcez vos stratégies de prévention des menaces avec l’analyse technico-légale de sécurité des réseaux

Certaines attaques de réseau récentes, très médiatisées, ont mis en évidence la nécessité de disposer d’outils de sécurité réseau plus solides, et notamment d’un logiciel capable d’analyser les conversations réseau en cours sur le réseau et de surveiller l’infrastructure de support afin de renforcer les solutions de prévention des menaces existantes.

Observer répond à ces besoins par une puissante combinaison d’analyses complètes des données filaires et de résultats de flux enrichis qui fournit une visibilité totale sur le trafic réseau et sur l’infrastructure de support. Avec des sources de données aussi riches, la détection des menaces en temps réel et les capacités d’investigation de sécurité post-événement se trouvent grandement améliorées. Les violations de sécurité et les ressources compromises sont ainsi rapidement identifiées et les activités de résolution peuvent commencer.

Observer Puzzle

Avec le lancement d’Observer v18, données de paquets et données de flux enrichis coexistent désormais dans Observer Apex. En compilant des données de couches 2 et 3 au sein d’un enregistrement unique de flux enrichis, Observer est capable de produire des visualisations uniques et interactives qui illustrent les relations entre utilisateur, IP, MAC et utilisation de l’application au sein du réseau. Il suffit alors à un utilisateur NetOps ou SecOps de saisir un nom ou un nom d’utilisateur pour accéder immédiatement à une liste de tous les appareils, interfaces et applications qui lui sont associés. Découvrir les éléments connectés et les personnes communiquant sur votre réseau n’a jamais été aussi facile.

SecOps Network Security Workflow

  • Capacité d’exécution ?

    Exhaustivité de la vision ?

    VIAVI excelle dans tous ces domaines... et est distingué six ans d’affilée*
    L’un des leaders du Magic Quadrant 2019 pour le diagnostic et le suivi des performances

  • Testé par Tolly

    Seul VIAVI propose une surveillance réseau 60 Gbit/s avec capture des paquets sans aucune perte.

  • Packet Pushers Podcast

    Security Weekly Podcast Library

    Identify and Resolve Security Threats with High-Fidelity Wire Data

  • 2019 State of the Network Study

    NetOps and SecOps Converge

    Over 600 IT professionals weigh in on the workloads, challenges, data sources and team collaboration required to safeguard critical corporate assets.

  • Regardez la présentation de VIAVI aux experts du secteur

    L’enregistrement parle en détail de VIAVI et de sa place sur le marché ; il fournit aussi un aperçu de la plateforme Observer et de la vision de VIAVI pour l’avenir.

  • 4 Gaps to Fix in Your Security Detection and Response

    Strategies from expert threat hunters designed for NetOps & SecOps teams

  • Introducing Observer GigaFlow

    Master performance and security challenges with insight from every perspective.

  • Dépenses de sécurité

    Les entreprises consacrent un budget 50 fois plus important pour la prévention que pour l’étude de problèmes, mais est-ce bien efficace ?

Un système informatique n’est jamais trop sécurisé

Pour défendre des réseaux informatiques complexes, intégrant l’Internet des objets (IdO) et des appareils d’utilisateurs distants, il faut une stratégie de protection des données aux multiples facettes. Par exemple, le périmètre des réseaux n’a jamais été aussi vaste et, donc, potentiellement vulnérable. En plus des pare-feu et systèmes IDS et DLP, une solution de sécurité efficace doit intégrer des données sur la sécurité réseau obtenues grâce à une connaissance approfondie du trafic réseau et des actifs de support.

Les équipes NetOps et SecOps doivent travailler de concert afin de prouver l’excellente valeur commerciale et l’exceptionnelle expérience utilisateur dont bénéficient les acteurs informatiques utilisant les capacités d’Observer :

  • Identification des menaces globales avec portée et impact - Apex prend en charge un accès complet aux puissants enregistrements de flux enrichis de GigaFlow. Sur l’écran d’accueil d’Apex, lancez une recherche par adresse MAC, adresse IP, sous-réseau ou lancez directement GigaFlow. Les listes noires mises à jour sont constamment comparées aux résultats enrichis. En utilisant ces solutions de sécurité réseau, les équipes réseau et de sécurité peuvent rapidement déterminer si des périphériques ou des applications présentent un comportement anormal.
  • Profilage de trafic avancé - Identifiez rapidement les activités irrégulières et contrôlez les utilisations acceptables via un profilage de trafic sophistiqué inclus dans la protection de sécurité réseau d’Observer. Vous pouvez accéder à chaque hôte et périphérique de l’environnement informatique directement depuis GigaFlow par le biais d’Apex. Caractérisez le trafic par type, usage, application et activité de communication. Les profils sont tenus à jour en temps réel, puis stockés avec tous les trafics réseau futurs, et comparés aux comportements passés.
  • Analyse technico-légale de sécurité et reconstruction - L’intégration étroite avec GigaStor implique qu’Apex est témoin de chaque conversation réseau, offrant ainsi au fil du temps des tableaux de bord intuitifs avec des résumés de toutes les transactions. Il permet également l’accès aux paquets individuels à tout moment, notamment pour les enquêtes rétrospectives approfondies concernant des activités suspectes. En tant qu’élément d’une procédure d’enquête, le trafic peut être rapidement filtré et partagé avec des outils de sécurité et d’analyse tiers.

Données sur la sécurité réseau - Un filet de sécurité pour vos efforts de prévention contre les menaces

Pare-feu, logiciels antivirus, systèmes de détection des intrusions (IDS) et de prévention des pertes de données (DLP) sont nécessaires, mais ils ne suffisent hélas plus pour garantir une protection sûre ou obtenir les données détaillées nécessaires à la résolution et à la documentation complètes des cyber-attaques et violations informatiques. Les solutions de sécurité réseau avancées fournies par des solutions de diagnostic et suivi des performances réseau (NPMD) telles qu’Observer fonctionnent comme une caméra de sécurité connectée 24 h/24, 7 j/7, qui surveille chaque entité d’un environnement donné, détecte les comportements irréguliers en temps réel et conserve les données relatives au trafic réseau sur de longues périodes de temps, permettant ainsi une identification immédiate des menaces ou des analyses post-événements.

Les données de paquets recueillies permettent aux équipes de reconstituer tout le trafic réseau jusqu’à (et après) un événement de sécurité réseau. Elles offrent une mise en contexte précise, tandis que les enregistrements de flux enrichis fournissent des informations détaillées sur le statut de chaque actif du réseau.

Un modèle opérationnel convergeant pour les équipes chargées du réseau et de la sécurité

Les environnements de réseau complexes exigent une collaboration étroite entre les équipes SecOps et NetOps pour optimiser la mise à disposition des services tout en offrant une protection efficace contre l’évolution des menaces de sécurité. Ces deux mondes sont ainsi reliés par le trafic réseau et les ressources qui le prennent en charge. Observer a les capacités nécessaires pour devenir la solution de sécurité réseau adaptée à ce futur paradigme. Pourquoi attendre demain lorsque vous pouvez disposer des données sur la sécurité réseau dont vous avez besoin dès aujourd’hui ?

« Bien que souvent indépendantes l’une de l’autre, les équipes NetOps et SecOps partagent un objectif commun : préserver les performances et la sécurité des infrastructures de réseau. Les responsables de l’infrastructure et des opérations peuvent exploiter des données et solutions partagées afin d’optimiser les budgets, d’éviter le dédoublement des tâches et d’améliorer l’expérience de l’utilisateur final. »
– « Align NetOps and SecOps Tool Objectives With Shared Use Cases » (« Aligner les objectifs des outils des équipes NetOps et SecOps grâce à des cas d’utilisation partagés »), par les analystes Sanjit Ganuli et Lawrence Orans (Gartner), 24 juillet 2018


 

  • Comment un logiciel de sécurité réseau peut-il vous aider à bénéficier d’une bonne visibilité sur votre réseau en cas de violation ?

    Lorsqu’un incident se produit, la première tâche de l’équipe SecOps est de collecter le maximum d’informations sur une adresse IP. En général, cela implique de demander à l’équipe NetOps d’envoyer des fichiers pcap, ce qui peut prendre beaucoup de temps. 

    Avec la solution de sécurité réseau Observer, nous agrégeons de manière proactive ces données de réseau pour vous, c’est à dire avant même que la violation ne se produise.

    L’application Observer donne aux équipes SecOps de la visibilité sur leur réseau en interrogeant tous les appareils connectés au réseau au lieu de se limiter aux routeurs, commutateurs et pare-feu. Nous allons encore plus loin en interrogeant vos serveurs proxy, vos répartiteurs de charge et même vos contrôleurs SD-WAN. 

    À ces dispositifs, nous posons les questions suivantes :
    -    Avez-vous déjà vu cette adresse IP ?
    -    Quelles décisions avez-vous prises concernant cette adresse IP ?
    -    Comment êtes-vous parvenus cette décision ?

    Observer consulte la table ARP pour obtenir les adresses MAC correspondant aux appareils du réseau. Nous trouvons les identifiants de l’utilisateur à partir des domaines d’identification, de NetFlow, jFlow, IPFix, et nous distillons ensuite ces informations.

  • Comment la plateforme Observer peut-elle compléter les autres solutions de votre suite ?

    L’application Observer offre aux équipes SecOps et NetOps de la visibilité sur les processus de sécurité existants au niveau des couches 2 et 3 du réseau en interrogeant les appareils connectés au réseau.

    Nous répondons aux questions essentielles suivantes : a) Qu’est-ce qui est connecté ? et b) Qu’est-ce qui communique ? Nous relions ensuite ces informations (adresses MAC, identifiants d’utilisateurs, adresses IP et autres) pour les compiler dans des processus interactifs et intuitifs qui vous permettront de naviguer parmi ces relations.

  • Quel impact commercial immédiat une solution de sécurité réseau peut-elle vous fournir ?
    • Nous proposons aux équipes NetOps et SecOps une fonction de détection des menaces plus rapide et plus précise grâce à des données technico-légales plus complètes.
       
    • Nous réduisons le nombre de faux positifs grâce à la visibilité plus complète sur le réseau offerte par Observer.
       
    • Nous favorisons la collaboration entre les équipes NetOps et SecOps en leur permettant d’accroître leur efficacité mutuelle. 
       
    • Nous rationalisons l’analyse de la cause profonde, en particulier lorsqu’il s’agit de déterminer pourquoi une application ne fonctionne pas de manière optimale.
       
    • Nous aidons les équipes NetOps à résoudre les réclamations subjectives des utilisateurs finaux.
       
    • Nous atténuons les facteurs de risques associés au déploiement d’initiatives informatiques majeures.
  • En quoi une solution de sécurité réseau basée sur les flux est-elle intéressante ?

    Nombreuses sont les solutions basées sur les flux qui affirment jouer un rôle au niveau de la sécurité en produisant quelques « rapports de sécurité ».  Notre solution fait le lien et comble l’écart qui existe entre les équipes NetOps et SecOps à l’aide d’affichages conçus SPÉCIFIQUEMENT pour les spécialistes SecOps.  
    Observer exploite de nombreuses techniques pour détecter automatiquement les comportements suspects et malveillants et il regroupe ces techniques au sein d’un mappage des menaces intégré. 

    • Mise sur liste noire d’adresses IP : Observer met continuellement à jour des listes noires préconfigurées et personnalisées.
       
    • Analyse technico-légale SYN : Observer peut signaler les volumes et schémas suspects dans les enregistrements de flux SYN uniquement, lesquels sont souvent associés aux balayages de réseaux et de ports. 
       
    • Profilage du trafic : Une des capacités principales d’Observer est sa capacité à utiliser des enregistrements de flux enrichis pour construire un profil de trafic pour les appareils connectés au réseau. Les profils sont actualisés en temps réel en comparant l’ensemble du trafic ultérieur généré par le réseau sur le périphérique aux comportements passés pour détecter des activités inhabituelles ou irrégulières.  
  • Préoccupations courantes concernant les solutions de sécurité réseau

    Vous avez peut-être des questions concernant l’application des flux enrichis dans votre infrastructure réseau. Observer peut vous aider à répondre aux questions relatives aux logiciels de sécurité réseau de différentes manières. En voici quelques exemples.

    1. Mes appareils ne peuvent pas envoyer de données de flux…
      Observer peut analyser les données des journaux pour produire des enregistrements de flux enrichis fonctionnant exactement comme des données de flux.
    2. Les sources de flux les plus répandues ne fournissent pas de données de performance…
      Observer met en œuvre des fonctions d’analyse avancées afin de produire des données sur les temps de réponse à partir des flux dans le cadre des flux enrichis.
    3. Les fournisseurs de flux regroupent et dédupliquent, de sorte que la valeur technico-légale des données est minime…
      Observer permet des « analyses de flux technico-légales complètes », garantissant ainsi la conservation et la disponibilité de chaque flux pour l’analyse la plus détaillée possible. Grâce à sa capacité d’archivage, Observer peut apporter son aide à n’importe quel rapport rétroactif associé à un incident, tout en permettant des analyses technico-légales entièrement fidèles. 
  • En quoi la solution basée sur les flux d’Observer est-elle différente des autres solutions de surveillance de la sécurité réseau basées sur flux ?

    Les solutions traditionnelles de sécurité réseau basées sur les flux regroupent des flux issus de certains appareils de l’infrastructure réseau uniquement. Nous allons plus loin et compilons des sources de données d’utilisateurs à partir de domaines et serveurs d’authentification, de SNMP, d’adresses MAC issues de tables ARP, et même de sources dans le cloud telles qu’AWS et Microsoft Azure.

    En associant ces données à GigaStor, la solution Observer de capture des données filaires validée par un tiers de VIAVI, une entreprise peut véritablement bénéficier de la plus complète visibilité sur son réseau.

  • Quels sont les critères de différentiation clés du logiciel de sécurité réseau et des solutions de performance du système Observer de VIAVI ?
    • Score de l’expérience de l’utilisateur final
      VIAVI tire parti de l’apprentissage machine pour identifier un problème et isoler automatiquement le domaine concerné en à peine quelques secondes. En seulement trois clics, les utilisateurs peuvent passer des tableaux de bord de niveau supérieur aux conversations réseau, ou encore consulter les transactions de données filaires, ce qui simplifie efficacement l’analyse de la cause profonde et réduit le temps moyen de résolution (MTTR).

      Cela peut s’avérer utile dans une configuration de sécurité, car un score de l’expérience utilisateur faible peut indiquer une attaque par déni de service, qui peut aussi être détectée à l’aide d’autres outils au sein du logiciel de sécurité réseau d’Observer.
       
    • Enregistrements de flux enrichis
      Avoir une bonne visibilité sur le réseau est un élément essentiel pour n’importe quel logiciel de sécurité réseau. Or les flux font partie des données réseau traditionnelles les plus durables. Observer transforme les flux traditionnels en associant des enregistrements de flux enrichis qui compilent flux, SNMP, identités des utilisateurs et journaux système de sessions au sein d’un « enregistrement » unique. En regroupant ces données de couches 2 et 3, on obtient des visualisations uniques et accessibles, telles que le visualiseur IP. Ces visualisations et rapports interactifs permettent au client de creuser aussi loin qu’il le souhaite dans les relations entre IP, MAC et utilisateur, mais aussi dans les informations relatives aux interfaces et aux types d’appareils, au contrôle du trafic, aux résultats de qualité de service, et bien plus encore. 
       
    • Mappage intégré des menaces
      Un mappage des menaces intégré, accessible directement depuis Observer Apex, fournit des moyens visuels de détecter et de surveiller les activités indésirables. Mise sur liste noire d’adresses IP, profilage de trafic avancé allant au-delà des listes blanches de base et analyses technico-légales SYN.
       
    • Capture de données validée par un tiers
      La capacité de capture de données filaires de VIAVI, validée par une société tierce, offerte par le composant GigaStor de la plateforme Observer fournit des débits de flux sur disque leaders sur le marché et produit des métadonnées offrant à n’importe quelle entreprise une visibilité technico-légale complète sur les paquets pour toute l’activité du réseau. En cas de violation de la sécurité, les utilisateurs SecOps peuvent consulter les conversations réseau au niveau des paquets. Si l’on ajoute à cela des analyses basées sur les flux, les équipes NetOps et SecOps peuvent toutes deux bénéficier d’une visibilité quasi complète sur leur réseau.
       
    • Interface unique avec Apex
      Les équipes SecOps ont souvent des difficultés à obtenir de la visibilité sur le réseau dans les délais requis. Cela peut être dû à des problèmes de silos organisationnels en matière d’utilisation de certains outils ou simplement au temps nécessaire pour trouver les données réseau appropriées. Avec Observer Apex, les équipes SecOps et NetOps peuvent utiliser la même interface pour résoudre les problèmes de sécurité et de performance du réseau.
       
    • Puissance des flux et puissance des paquets combinées
      En combinant les capacités de capture des données filaires de GigaStor et les capacités d’analyse et d’archivage basés sur les flux de GigaFlow, Observer est en mesure de vous fournir des informations relatives au datacenter aussi bien sur un routeur hypothétique situé à l’extrémité du réseau. Il vous offre ainsi une visibilité complète sur le réseau. La possibilité de stocker des enregistrements de flux enrichis sous forme d’analyses technico-légales à haute fidélité et les capacités de conservation des données de conversations réseau propres à GigaStor signifient que les équipes SecOps et NetOps peuvent consulter et utiliser, de manière rétroactive, n’importe quelle transaction ayant eu lieu sur le réseau. Les équipes SecOps et NetOps bénéficient ainsi d’une véritable visibilité sur le réseau.

Ressources supplémentaires :

Ressources

Laissez-nous vous aider

Contactez-nous pour de plus amples informations, pour recevoir un devis ou pour consulter des vidéos de démonstration de produits. Nous sommes là pour vous aider à prendre une longueur d’avance.