Un système intégré et distribué comme l’est Self Defending Network est certainement la meilleure façon de considérer une solution globale et évolutive pour la défense du système d’information.

Mais un tel système ne se conçoit que s’il reste simple à administrer, car la complexité entraine les lenteurs dans l’évolution et la hausse des coûts d’exploitation.

Pour se faire, nous avons décidé d’orienter notre offre autour de 2 aspects, chacun bénéficiant d’une plate-forme optimisée :

• Définir de façon centralisée l’ensemble des politiques de sécurité, les « descendre » dans  tous les équipements concernés, puis les faires évoluer en permanence. Il s’agit de CSM, Cisco Security Manager
• Exploiter au quotidien le système. Pour se faire, il faut se doter d’une plate-forme permettant la prise en compte de l’ensemble des « logs » remontés par les équipements, afin de les corréler et de les hiérarchiser. Il s’agit de CS-MARS, Monitoring and Analisys Response System.

CSM – CS Manager

CSM est une plate-forme de provisionnement des politiques de sécurité dans les équipements.

Il permet notamment de définir les politiques, par type de service (service Firewall, service IPS, etc.) et de les distribuer dans l’ensemble des équipements concernés, équipements de sécurité (Firewall, IPS, etc.) ou réseau (routeur, switches, passerelles).

Il permet ensuite d’en assure l’exploitation et le contrôle, afin de savoir si tous les équipement sont bien à jours, et les évolutions, un renforcement  d’une politique identifiée comme un peu faible par exemple.

MARS

Une fois l’architecture de sécurité déployée, les politiques de sécurité définies, le système va remonter une alerte pour chaque événement qui se produit sur le réseau.

Or, comment savoir que la politique prévue est bien appliquée ? Est-elle adaptée ? Un événement apparemment anodin pris isolément fait-il partie d’une chaîne qui elle-même est très dangereuse ? Les nouvelles générations d’attaques distribuées générant des quantités d’événements énormes, comment s’y retrouver ?

Pour que le système soit efficace, il faut donc analyser et comprendre ce qu’il se passe, à travers une plateforme qui va corréler l’ensemble des événements (issus tant du réseau que des boitiers de sécurité), et surtout, ayant la capacité de proposer des solutions de défense adaptées au danger.

C’est le rôle de la technologie MARS (Monitoring and Analysis Response System) de Cisco. Il s’agit d’une appliance, qui peut fonctionner de façon autonome ou concertée (entre plusieurs boîtiers) et qui va permettre ce corréler les événements réseau et sécurité, venant des routeurs, des commutateurs, des firewall, des sondes IPS, etc. produits venant de l’offre Cisco ou des concurrents afin d’identifier les vrais problèmes et de proposer les solutions adaptées.

Liens

• Administration des politiques de sécurité avec CS-Manager
• Exploitation des logs et des contre-mesures avec MARS