MENU PORTAIL
 ConnecTIC Mada : Le déploiement de Cisco Security Agent en interne chez Cisco - La sécurité basée sur des lignes de défense multiples
Le déploiement de Cisco Security Agent en interne chez Cisco - La sécurité basée sur des lignes de défense multiples

Cisco Security Agent fut déployé pour la première fois en 2003 sur les 37 000 ordinateurs personnels de l’entreprise. La solution eut très vite l’occasion de fournir la preuve de son efficacité, lors de l’épidémie du virus bagle.aa, en avril 2004. Lorsque celle-ci apparut, notre protection antivirus, pour la messagerie électronique, datait un peu. Très vite donc, une mise à jour fut déployée, mais nous savions qu’il était déjà trop tard pour couvrir le risque d’infection sur la totalité des systèmes personnels. La première ligne de défense était constituée par les serveurs de messagerie ; il ne manqua que quelques minutes aux équipes de support, pourtant rapidement réactives, pour appliquer à temps les filtres de protection. Comble du comble, le virus avait été envoyé à toute la société, par tous les employés eux-mêmes ! Il ne restait plus à Cisco IT qu’à constater la casse – une toux aiguë de nos serveurs de messagerie – mais aussi à observer le comportement de Cisco Security Agent pour sa première situation de crise.

Les résultats furent à la hauteur des espérances. Sur les 38 370 ordinateurs personnels protégés par Cisco Security Agent, seuls 0,14 % (environ 50 systèmes) furent infectés. Et ce uniquement parce que les utilisateurs avait autorisé l’action du virus en cliquant sur « Oui », deux fois de suite, lorsqu’ils furent avertis qu’une application douteuse tentait de modifier la clé d’exécution du registre et d’accéder aux ressources de messagerie électronique. Cet incident permit de vérifier que, dans l’absolu, Cisco Security Agent avait accru de 99,86 % la sécurité des systèmes, avec un facteur réel de 91,3 %.

1. Situation et challenge

En 2003, le coût global des virus était estimé à 28 milliards de dollars dans le monde, et on s’attend pour 2007 à ce que ce bilan atteigne les 75 milliards. La prévention est plus que jamais à l’ordre du jour !

Pour protéger son réseau contre tous les types d’attaque possibles, Cisco® a choisi une approche à plusieurs niveaux : des modules de détection d’intrusion Cisco PIX® déployés sur le réseau, aux applications clients installés sur les ordinateurs de bureau et sur les passerelles de courrier électronique. Malgré tout, aucune de ces méthodes ne saurait être à elle seule une protection totalement efficace pour protéger les ordinateurs et les différents outils personnels. Il ne faut pas oublier qu’aucun pare-feu ne saurait protéger le PC d’un ingénieur commercial, par exemple, lorsque celui-ci est connecté au réseau d’un partenaire ou d’un client. De même, il ne pourra rien faire pour le PC d’un employé si celui-ci est infecté depuis une connexion internet à son domicile et qu’il est ensuite raccordé à l’intranet de l’entreprise. « Le souci permanent de la sécurité n’est plus réservé au 

réseau », confie Paul Mauvais, Architecte Sécurité Principal de Cisco, « les données doivent être sécurisées où qu’elles résident, même au point final. ». Si ce point est un ordinateur portable, il peut résider n’importe où, sur le réseau Cisco, sur le site d’un client, ou au domicile d’un employé.

Pour protéger les ordinateurs personnels et les serveurs, les programmes antivirus sont également insuffisants. Ces logiciels sont efficaces contre les virus dont la signature est connue, mais ils ne sont d’aucune protection entre le moment où un nouveau virus fait son apparition et celui où l’antidote adéquat est installé ; souvent à ce moment-là, le mal est déjà fait. Pour Mike Swartz, Chef de projets techniques à Cisco, « la mise à jour des définitions de signatures est un effort de tous les jours, et la victoire n’est jamais acquise car il est impossible de prévoir les prochains coups de l’adversaire ; on ne peut être que réactif, avec un travail sans fin de mises à jour. ». L’autre limite, avec les antivirus, réside dans le fait que les employés Cisco travaillent souvent hors connexion, et il est alors impossible de garantir qu’à un même moment, tous les systèmes soient protégés par les mêmes fichiers de définition de virus.

On retrouve le même problème avec les patchs proposés par les éditeurs pour les vulnérabilités qu’ils peuvent découvrir sur leurs logiciels et leurs systèmes d’exploitation. Idéalement, avant tout déploiement en environnement de production, chaque nouveau patch devrait être soumis à toute une batterie de tests qualité, avec une longue période d’observation sur un ensemble de serveurs de développement. Malheureusement, en raison de la fréquence des nouvelles menaces et du rythme de réponse de la part des éditeurs, les services de support doivent trouver un équilibre entre deux différents impératifs. L’un est de tester les nouveaux patchs pour éviter qu’ils ne portent atteinte à l’environnement de production, l’autre est de distribuer le patch très rapidement pour résoudre le point de vulnérabilité pour la sécurité.

Les patchs posent également un problème de logistique dans le cadre d’une entreprise multinationale dont les employés sont particulièrement mobiles. Les employés Cisco qui travaillent plusieurs jours ou plusieurs semaines de suite chez un client ne seront pas facilement protégés en cas d’attaque. Comme le fait remarquer Mike Swartz, « lorsque Cisco déploie un patch à 13h00, heure de San Jose, à un autre endroit du monde, c’est le beau milieu de la nuit, et donc là-bas les employés ne le recevront que le lendemain, lorsque leur réseau sera peut-être déjà infecté. Les virus et les vers peuvent faire des dégâts beaucoup plus rapidement que nous ne pouvons déployer de patchs. »

Pour stopper les attaques destructrices, Cisco IT est passé des systèmes analysant les signatures à une solution axée sur les comportements. Les tactiques de défense autorisent certains comportements d’applications habituels, et interdisent ceux qui sont anormaux, et donc potentiellement nuisibles, par exemple un fichier téléchargé qui ouvrirait la liste de contacts de la messagerie.

2. La solution

Devant la menace croissante et de plus en plus dangereuse des virus et des vers, Cisco a décidé d’implémenter une solution de prévention d’intrusion, sur l’ordinateur de l’ensemble des employés. Cette solution présente la totalité des fonctionnalités de pare-feu personnel, mais ne s’arrête pas là. Un pare-feu personnel autorise ou refuse des actions en fonction de règles rudimentaires, généralement basées sur l’adresse des réseaux sources ou destinataires. Par exemple, si le pare-feu personnel autorise un PC à recevoir des données uniquement d’une source, disons un serveur de messagerie électronique, l’ordinateur est protégé contre les intrusions ennemies, puisque tout le reste est explicitement interdit. Le problème, c’est qu’un code nuisible peut pénétrer via une source autorisée, dans la pièce jointe d’un courrier, par exemple. Et c’est là qu’intervient la solution de prévention : si l’application de messagerie se comporte de façon hors norme, la solution offre à l’utilisateur ou à l’administrateur la possibilité de refuser ce comportement.

Pour Cisco IT, Le critère numéro un d’un système de prévention d’intrusion est la protection maximale ; mais la facilité d’utilisation pour les employés est également un prérequis important. Paul Mauvais confirme que « la plupart des produits évalués nécessitaient une longue phase d’apprentissage, non seulement pour IT, mais pour tous les employés. Nous voulions une solution aussi discrète que possible, pour que les employés ne soient pas tentés de la désactiver. ». En outre, 

entrait en ligne de compte une évolutivité permettant le support d’une base installée de plus de 50 000 utilisateurs, avec une administration centralisée pour la configuration et les mises à jour.

Une fois tous ces critères pris en compte, Cisco entreprit de déployer le Cisco Security Agent. Celui-ci intègre des politiques prédéfinies, mais permet aussi le développement de politiques personnalisées. Par exemple : pour l’authentification, les processus systèmes de Windows interrogent l’Active Directory, mais les applications téléchargées sur le réseau ne devraient pas accéder la liste de contacts de l’utilisateur. Les administrateurs peuvent modifier les politiques pour affiner l’analyse des comportements en fonction de leur environnement et de leurs applications. Pour Cisco IT, l’un des avantages de Cisco Security Agent est justement son nombre limité de règles à entretenir. Celles-ci définissent quand et comment les applications peuvent accéder aux procédures d’enregistrements des fichiers, des systèmes et des réseaux.

Exemple de politique de contrôle d’accès fichier

Cisco Security Agent bloque toute action qui enfreint les règles, et garde un historique de toutes les tentatives de violation. Dans la Figure 1, la règle stipule que Cisco Security Agent interrogera l’utilisateur chaque fois qu’une application tente d’enregistrer un ensemble prédéfini de fichiers. L’administrateur système peut modifier les règles, pour un groupe d’hôtes particulier.

Pour chaque type de comportement suspicieux, Cisco IT peut configurer Cisco Security Agent pour autoriser l’action, l’interdire purement et simplement sans en informer l’utilisateur, ou interroger l’utilisateur (Figure 2). « Prenons le cas d’un fichier téléchargé qui tenterait d’ouvrir la liste de contacts de la messagerie électronique – comportement typique d’un virus – », dit Swartz, « nous pouvons paramétrer Cisco Security Agent pour qu’il demande à l’utilisateur s’il souhaite autoriser l’action. Par défaut, la réponse proposée est la plus sure, à savoir Non, dans ce cas. La réponse par défaut est automatiquement appliquée après un délai pré-défini, de telle sorte qu’au cas où l’utilisateur ne serait pas devant son PC au moment où l’action se produit, celle-ci est systématiquement refusée. »

Boîtes de dialogues de Cisco Security Agent

a) Le pilote

Avant de déployer Cisco Security Agent dans toute l’entreprise, Cisco IT a mis en place un programme pilote, avec 500 utilisateurs. L’objectif était de développer des politiques qui n’aient pas d’impact négatif sur la productivité : au vu du nombre extrêmement important d’applications chez Cisco, le risque d’interruption fastidieux de l’utilisateur était sensible, pour connaître son avis sur tel ou tel comportement des diverses applications. En effet, fait remarquer Paul Mauvais, « nous pensions qu’il y avait environ 1000 applications chez Cisco ; mais au cours du pilote, nous avons réalisé qu’il en existait plus de 10 000 ! Grâce au système d’historique de Cisco Security Agent, nous avons pu identifier les applications provenant de Cisco IT, ainsi que leurs comportements standards, nous avons pu identifier aussi les applications les plus utilisées dans l’entreprise, dans l’ensemble des théâtres. Avec ces informations, nous avons pu affiner les politiques, pour que les applications s’exécutent sans heurts lors du déploiement final. ».

L’équipe projet mise en place par Cisco IT consistait d’ingénieurs de développement, d’ingénieur de support, d’ingénieurs de sécurité de l’information (InfoSec), et de personnels du service de support. Après avoir sélectionné les 500 utilisateurs volontaires parmi les différentes fonctions ce l’entreprise dans le monde entier, Cisco IT mit en place un serveur Windows 2000, y installa le Cisco Security Agent, et commença à développer les politiques de sécurité. Pour de nombreuses applications, les politiques intégrées de Cisco Security Agent s’avérèrent suffisantes. Pour d’autres, il fallu développer des politiques particulières, soit parce que la politique intégrée équivalente n’était pas suffisante, soit parce qu’elle était trop envahissante pour les habitudes de travail des employés Cisco, habitués généralement à beaucoup de souplesse. Cisco IT exploita alors le module Profiler de Cisco Security Agent, qui crée un profile de comportement standard pour une application. Pour Paul  Mauvais, « la fonctionnalité de création de profil a été particulièrement utile, car Cisco exploite un 

certain nombre d’applications complexes qui n’intègrent pas nécessairement de politiques ; Altiris, par exemple, que nous utilisons pour le déploiement automatique de logiciel sur les PC. Nous avons craint un moment de devoir profiler la totalité des milliers d’applications sur nos serveurs, mais au final, seules quatre ou cinq d’entre elles, parmi les plus complexes, ont fait l’objet de créations de profils spécifiques. Cela constituait un point de départ suffisant, que nous pourrions affiner après les tests/analyses en environnement pilote. »

b) Enviromment de production

près le pilote, Cisco déploya cinq serveurs de production, et put installer Cisco Security Agent en

c) Résultats

En plus de la sécurisation plus efficace des systèmes personnels, Cisco Security Agent offre des • Réduction des coûts – Cisco IT estime que non seulement la solution est amortie en un temps Gains de productivité – Grâce à des mises à jour programmées, toutes les semaines ou tous Détection des systèmes infectés – Il faut bien reconnaître que cet avantage de Cisco Security Confiance – Cisco IT est aujourd’hui plus tranquille face à la menace des virus. Lorsqu’une .

Retour d’expérience

Selon Paul Mauvais, « il faut d’abord prendre le temps de tester les politiques et de constituer une « push » sur la totalité des systèmes des employés, dans le monde entier, comme tout déploiement habituel, via Altiris, à travers le réseau de distribution Cisco ACNS (Application Content and Networking System). Grâce aux leçons apprises lors du pilote, la stratégie de garantie de la productivité fut couronnée de succès, grâce à une solution extrêmement discrète : en moyenne, chaque utilisateur voit deux ou trois événements par jour. L’adoption par les utilisateurs s’est particulièrement bien passée : pour un déploiement initial vers 37 000 utilisateurs, moins de 200 tickets d’intervention ont été ouverts.

 

c - avantages non négligeables en termes de gestion des coûts et de gain de productivité.

          très rapide, mais aussi que les gains réalisés sont bien supérieurs à son coût. Il suffit de comparer le prix du logiciel avec les coûts qu’auraient générés le nettoyage et la réparation des dommages des virus et des vers. Le retour sur investissement est évident. Cisco Security Agent a ralenti la progression des virus. En outre, lorsqu’une action est refusée ou interdite, un message est envoyé aux serveurs centraux, et ceux-ci génèrent des rapports à la demande, pour Cisco IT. Grâce à une notification rapide de toute nouvelle activité anormale, Cisco IT peut agir préventivement très tôt, réduisant les coûts de l’infection.

les mois, voire seulement chaque trimestre, on évite les accidents ou les erreurs inévitables lors des réactions dans l’urgence. Cisco Security Agent permet ainsi une meilleure gestion de la sécurisation des systèmes, avec une réduction des temps d’arrêt des serveurs pour maintenance, et donc une réduction des pertes de revenus. La perte de revenus est calculée par le temps d’indisponibilité des systèmes personnels lors de la maintenance des serveurs, pendant lequel les employés sont dans l’impossibilité de traiter les besoins de nos clients.

Agent était involontaire, à l’origine. Lors du déploiement, Cisco IT s’est aperçu que quelques systèmes personnels n’était pas équipés d’antivirus, soit parce qu’aucun programme n’avait été installé, soit parce que l’utilisateur l’avait désinstallé.

prochaine attaque sera lancée, nous saurons que nous pouvons compter sur un système de lignes de défense parfaitement organisées. Si un virus arrive à passer la barrière des filtres et des systèmes de détection installés sur les passerelles de messagerie électronique, nous savons que sur chaque système personnel Cisco Security Agent empêchera le virus de se propager, comme cela a été le cas lors de l’épidémie de bagle.aa.

  L'équipe très hétérogène d’utilisateurs pour les tests. Il ne faut pas hésiter à commencer par tester des politiques plus faibles que le résultat recherché, pour provoquer un taux adoption élevé par les utilisateurs. »

La formation des utilisateurs est également un aspect capital du succès. Il est nécessaire d’autoriser ’importance stratégique de la formation des utilisateurs a été particulièrement évidente lors de ’incident de bagel.aa a renforcé Cisco IT dans l’idée que les dommages causés par une épidémie – ou ne pas explicitement interdire – certains comportements d’application, et de laisser la décision finale à l’utilisateur. Mais celle-ci doit pouvoir se faire en parfaite compréhension des conséquences qu’elle entraîne. L’impact du déploiement de Cisco Security Agent est comparable à celui de VPN ou d’un LAN sans fil. L’investissement en temps et en efforts, pour la formation des utilisateurs, est indispensable – et s’avère très positif à moyen et court terme, pour la réduction des coûts.

L’épidémie de bagle.aa en avril 2004. Sur les 38 370 systèmes protégés par Cisco Security Agent, seuls 620 utilisateurs lancèrent l’exécutable. Parmi ceux-ci, moins de 10 % cliquèrent « Oui » lorsque Cisco Security Agent les avertit qu’une application douteuse tentait de modifier une clé d’exécution du registre, et certains de ces utilisateurs sélectionnèrent « Oui » une deuxième fois lorsqu’ils furent avertis que la même application tentait d’accéder aux ressources de la messagerie électronique. Il ne faut donc jamais sous-estimer la nécessité de formation des utilisateurs sur la sécurité. Ceux-ci ne devraient jamais ouvrir de pièce jointe non désirée dans un courrier électronique. Et lorsqu’ils le font malgré tout, ils devraient être aussitôt alertés sur les conséquences graves qui peuvent se produire s’ils ignorent les avertissements de Cisco Security Agent. Il suffit d’une seule machine atteinte par le virus pour inonder l’entreprise d’un flot de messages infectés.

L

atteignent leur maximum dès les premières heures de la propagation, puis s’atténuent très rapidement. Il est donc stratégique de limiter le plus tôt possible le nombre de PC infectés, pour réduire le temps, les coûts et les efforts nécessaire pour réparer les actions du virus. Deux jours après le premier cas d’infection, seuls un ou deux cas étaient constatés, alors que Cisco IT s’attendait à une contagion étendue sur plusieurs jours, à mesure que chaque théâtre et chaque zone horaire s’éveillaient ; ce n’a pas été le cas, et cela grâce à l’efficacité de Cisco Security Agent. Ainsi, la solution pour une sécurité étendue réside dans la multiplicité des lignes de défense, des filtres installés sur les serveurs de messagerie aux programmes antivirus des ordinateurs personnels.

Pour aller plus loin  : com/go/ciscoit


http://www.cisco.

Cisco on Cisco : études de cas sur la sécurité rk/case_studies/security.html

http://www.cisco.com/web/about/ciscoitatwo

Cisco on Cisco : best practices sur la sécurité rk/design_guides/dg-security_vpn.html


http://www.cisco.com/web/about/ciscoitatwo


Source Cisco mag


Ajouté le 14/01/2008

Retour à la liste
 ACTUALITES MALAGASY
 Environnement TIC
Documents - cadres
» Politique générale des TIC
» Règlementation des telecoms
Informations principales
» Acteurs du secteur
» Statistiques générales
Cartes de localisation
» Téléphonie
» Distributeur automatique de billets
» Liaison DATA
 Comment ça marche ?
Les diverses technologies utilisées quotidiennement par les professionnels et les particuliers :
|   Backbones  |   Les adresses IP  |   Les fournisseurs d'accès  |   Réseau privé  |   Technologies d'accès Internet  |  
 Les dossiers
Les derniers dossiers
» Le déploiement de Cisco Security Agent en interne chez Cisco - La sécurité basée sur des lignes de défense multiples
» Entretien avec Philippe Birot, directeur commercial d’UBIqube
» Sécurisation des Communications Unifiées
» Le monde de la télécommunication via NTIC
» Le leadership affirmé de Cisco sur le marché N-IDS/IPS
>>Voir tous les dossiers
 Actualités internationales
© Copyright 2006 eboons.net - Tous droits réservés - L'usage et la reproduction, même partiels, des textes, des photos
ou de tout autre élément visuel publiés sur ce site, sont interdits sans l'accord de €bOOns.
Toute tentative pourra donner lieu à des poursuites. Partenaires : www.eboons.com