Dans le domaine de la sécurité, le chiffrement est la pierre angulaire d’une bonne protection. Il touche maintenant l’ensemble des architectures IT allant du on premise, mais aussi sur le cloud (à travers les offres des fournisseurs) ou dans des environnements modernes (virtualisés ou conteneurisés). Mais selon Bertrand de Labrouhe, directeur des ventes Europe du Sud chez Gigamon France, « cette technologie rend aveugle les responsables IT sur les données qui circulent ». Un comble quand on sait que les cybercriminels chiffrent aussi leurs actions.
Le spécialiste du monitoring réseau vient donc de lancer une fonction nommée « Precryption » au sein de GigaVUE 6.4 capable d’inspecter le trafic réseau avant et après le chiffrement à la recherche d’activités malveillantes. Concrètement, la fonctionnalité s’appuie sur la technologie eBPF (Extended Berkeley Packet Filter) qui permet d'exécuter en toute sécurité des programmes en bac à sable dans le noyau Linux sans modifier le code du noyau. Les programmes eBPF sont généralement utilisés pour le filtrage, la surveillance et d'autres tâches au niveau du noyau des paquets réseau, mais leurs cas d'utilisation se sont étendus à divers aspects de l'observabilité et du contrôle du système.
Un contrôle a priori et a posteriori du chiffrement
L’avantage de la technologie Precryption qui travaille avant ou après le chiffrement « est de ne pas nécessiter d’avoir les clés de chiffrement et n’a pas non plus besoin d’effectuer du déchiffrement, une tâche gourmande en ressources », souligne Bertrand de Labrouhe. Elle élimine donc la gestion des clés. En cas de doute ou de suspicion, les paquets sont transférés vers des outils de sécurité (IPS, SIEM, EDR,…). Cette analyse a priori et a posteriori, « permet de détecter par exemple des mouvements latéraux », assure Bertrand de Labrouhe.
A noter que dans un premier temps, Precryption sera compatible avec une librairie OpenSSL comprenant les dernières versions de TLS. La solution devrait évoluer avec le temps vers d’autres protocoles par exemple LibreSSL ou SSH. La fonctionnalité est disponible dans le monde entier et s’active facilement dans la console de Giga!vue.
Commentaire