La passerelle Web sécurisée (SWG) joue un rôle crucial dans la solution SASE/SSE, qui vise à sécuriser les connexions Internet.
Son principal objectif est de protéger les utilisateurs contre les menaces en ligne et d’appliquer des politiques d’accès acceptables au sein d’une organisation.
Le SWG y parvient en interceptant le trafic des utilisateurs et en utilisant divers moteurs de sécurité, y compris l’application de la politique d’accès.
Seul le trafic qui répond aux politiques d’accès de l’organisation et qui est considéré comme propre est autorisé à passer.
Étant donné que 95 % du trafic Internet est désormais crypté, les solutions SASE/SSE doivent être capables de décrypter ce trafic pour assurer une sécurité complète.
Bien que la majeure partie du trafic puisse être décryptée à l’aide du décryptage TLS MITM (Man-In-The-Middle), des inquiétudes concernant la vie privée des utilisateurs sont apparues, en particulier lorsque les utilisateurs visitent des sites web qui traitent des informations personnelles identifiables (PII) ou des sites bancaires.
En outre, certains fournisseurs de logiciels d’application ont commencé à adopter des techniques d’épinglage de certificats pour empêcher complètement le décryptage TLS MITM.
Ces développements soulèvent des questions sur la sécurité qui peut être appliquée au niveau de la SASE tout en continuant à fournir de la valeur aux entreprises.
C’est là que les moteurs de sécurité de la réputation gagnent du terrain.
Cet article souligne la valeur de SWG pour les connexions liées à l’internet en décrivant les moteurs de sécurité qui peuvent être appliqués universellement, avec ou sans décryptage TLS.
Il explore également les moteurs de sécurité qui opèrent sur le trafic TLS décrypté, permettant des mesures de sécurité complètes.
Caractéristiques génériques communes à toutes les composantes du SASE
Le contrôle d’accès de SASE Security étant centré sur l’identité, l’authentification et l’autorisation sont des fonctions fondamentales requises dans tous les composants de SASE.
Les articles sur le SASE sensible à l’identité et le courtier d’identité donnent un aperçu des différentes méthodes d’authentification et des interfaces avec de multiples services d’authentification. En outre, l’article sur les proxies dans le SASE examine les techniques utilisées pour capturer le trafic des utilisateurs vers l’internet, des utilisateurs vers les services SaaS et des utilisateurs vers les applications d’entreprise.
Cependant, cet article se concentre principalement sur les moteurs de sécurité du composant SWG.
Notez que cet article n’aborde pas non plus d’autres fonctionnalités communes à tous les composants SASE, telles que la gestion centralisée de la configuration et les capacités d’observabilité.
Moteurs de sécurité et évaluation de la politique générique
Dans le cadre de SASE, tous les moteurs de sécurité fonctionnent sur la base de politiques administrées, qui fournissent les règles et les actions régissant le comportement du système.
Chaque moteur de sécurité peut être constitué de plusieurs tables de politiques, et chaque table peut contenir plusieurs politiques.
Une politique se compose d’une action et d’un ensemble de règles.
L’action détermine la manière dont le système doit traiter la session de trafic.
Les règles d’une politique définissent les conditions qui doivent être remplies pour que la politique soit considérée comme une correspondance.
Les règles se composent d’attributs correspondants et de leurs valeurs correspondantes.
Si la session de trafic correspond aux valeurs d’attribut spécifiées, la règle est considérée comme une correspondance.
Divers attributs de correspondance peuvent être utilisés dans les règles pour appliquer efficacement les politiques de sécurité.
Parmi ces attributs, on peut citer la date et l’heure, l’adresse IP source, l’adresse IP de destination, le port de protocole/destination, le port source, les attributs de réclamations d’utilisateurs tels que l’adresse électronique de l’utilisateur, le groupe d’utilisateurs, le rôle de l’utilisateur, l’émetteur et d’autres attributs tels que spécifiés dans le registre des réclamations JWT.
En outre, des attributs tels que le nom de domaine, l’URL, les en-têtes et les valeurs de la requête, la méthode HTTP, la posture de l’appareil, le score UEBA, la localisation de l’utilisateur, la catégorie du domaine, le score de réputation du domaine, la catégorie de l’URL, le score de réputation de l’URL, la catégorie de sécurité de l’IP, le score de réputation de l’IP et le score de réputation du fichier peuvent également être utilisés.
Il est important de noter que tous les moteurs de sécurité peuvent ne pas prendre en charge tous les attributs correspondants dans leurs politiques.
SASE évalue les sessions de trafic en les faisant passer par plusieurs moteurs de sécurité.
Chaque moteur de sécurité décide indépendamment d’autoriser ou non la session de trafic en fonction des politiques qu’il a configurées.
Si tous les moteurs de sécurité autorisent la poursuite de la session de trafic, SASE autorise le trafic à passer.
L’ordre dans lequel SASE exécute les moteurs de sécurité est généralement prédéfini.
Cependant, certaines implémentations de SASE peuvent offrir la possibilité de sélectionner l’ordre dans lequel les moteurs de sécurité sont exécutés.
Cela permet aux administrateurs de donner la priorité à certains moteurs de sécurité ou d’adapter la séquence de traitement en fonction de leurs besoins.
Collecte en ligne de renseignements sur les menaces
Le composant SWG (Secure Web Gateway) joue un rôle crucial dans la collecte de renseignements sur les menaces en ligne.
Il s’appuie sur des flux de données provenant de fournisseurs réputés pour acquérir des informations précieuses sur différents aspects, notamment :
- Réputation des adresses IP, des domaines, des URL, des fichiers et des services SaaS: Le SWG exploite les flux de renseignements sur les menaces et les données pour évaluer la réputation de ces entités.
Ces informations aident à identifier les sources potentiellement malveillantes ou suspectes, ce qui permet au système de prendre des décisions en connaissance de cause. - Catégorisation des domaines, des URL et des services SaaS: En utilisant les flux de renseignements, le SWG peut déterminer les catégories auxquelles appartiennent les domaines, les URL et les services SaaS.
Cette catégorisation facilite l’application des politiques et permet aux organisations de définir des contrôles de sécurité granulaires basés sur des catégories spécifiques. - Classification du contenu des logiciels malveillants: Le SWG utilise les renseignements recueillis sur les menaces pour classer les logiciels malveillants potentiels sur la base d’une analyse du contenu.
En examinant les caractéristiques du contenu, le système peut identifier et bloquer ou mettre en quarantaine les fichiers ou sites web malveillants, les empêchant ainsi de nuire. - Classification des données de contenu: Le SWG utilise également des flux de renseignements sur la classification des données pour classer le contenu du trafic web.
Cette classification permet d’identifier les informations sensibles ou confidentielles susceptibles d’être transmises ou consultées, ce qui permet aux organisations d’appliquer efficacement les politiques de protection des données.
Comme l’ensemble du trafic Internet et SaaS passe par le SWG, celui-ci a la capacité de collecter divers attributs du trafic.
En exploitant les flux de renseignements sur les menaces et les données, le SWG peut enrichir ces attributs d’informations précieuses sur les menaces.
Ces informations facilitent non seulement l’application des politiques entre les différents moteurs de sécurité, mais fournissent également une visibilité sur les menaces présentes dans le trafic transitant par le SWG.
Cette visibilité accrue permet aux organisations de détecter et d’atténuer les risques de sécurité potentiels en temps réel, garantissant ainsi une posture de sécurité solide.
Moteurs de sécurité avant l’inspection SSL
Ces moteurs de sécurité traitent les sessions de trafic avant qu’elles ne soient décryptées par TLS/SSL.
Ces moteurs de sécurité agissent sur l’ensemble du trafic HTTP lié à l’internet.
Ils interrompent la session de trafic s’ils identifient un risque potentiel.
- Moteur de sécurité pour la protection contre les menaces basées sur la réputation IP : les administrateurs du SWG ont la possibilité de créer des politiques basées sur des catégories IP spécifiques, des scores de réputation IP et d’autres attributs génériques, ce qui leur permet d’établir des mesures de sécurité sur mesure.
Ce moteur offre une protection solide aux utilisateurs qui accèdent à des sites web connus pour héberger des logiciels malveillants et des contenus de phishing.
S’appuyant sur des informations complètes sur les menaces collectées sur les adresses IP de destination, le moteur identifie et atténue efficacement les risques potentiels, protégeant ainsi les utilisateurs contre les activités malveillantes.
En évaluant la réputation de chaque adresse IP, le moteur de sécurité prend des décisions éclairées sur les mesures appropriées à prendre en conformité avec la politique correspondante, garantissant ainsi une posture de sécurité proactive et dynamique. - Moteur de sécurité pour la protection contre les menaces basé sur la réputation des domaines : les administrateurs de SWG ont la possibilité de créer des politiques basées sur les catégories de domaines, les scores de réputation des domaines et d’autres attributs génériques, ce qui leur permet de définir efficacement les mesures de sécurité souhaitées.
Ce moteur offre une protection complète aux utilisateurs qui accèdent à des sites web signalés comme hébergeant des logiciels malveillants et des contenus d’hameçonnage.
En s’appuyant sur les informations relatives aux menaces par domaine recueillies à partir de diverses sources, notamment l’en-tête HTTP CONNECT, TLS SNI pour le trafic HTTP basé sur TLS et l’en-tête hôte du trafic HTTP clair, le moteur évalue les politiques afin d’identifier avec précision et d’atténuer les risques potentiels.
En intégrant des données sur la réputation des domaines, le moteur de sécurité garantit des mesures de défense proactives, renforçant ainsi la posture de sécurité globale et protégeant les utilisateurs contre les menaces potentielles.
Les moteurs de sécurité basés sur la réputation donnent la priorité à la précision et à l’adaptabilité.
Ces moteurs de sécurité offrent une grande flexibilité au niveau des politiques afin de permettre aux administrateurs des GTS de créer des exceptions.
Ces exceptions sont cruciales pour diverses raisons, telles que le traitement des faux positifs générés par les flux de renseignements sur les menaces et la prise en compte de la nécessité délibérée d’autoriser le trafic pour que les chasseurs de menaces locaux puissent effectuer des inspections plus approfondies.
En ce qui concerne le moteur de sécurité de la réputation des domaines, une question importante se pose quant au nom de domaine à utiliser pour la collecte de renseignements et l’application des politiques de réputation.
Cette question se pose parce que le nom de domaine est présent dans plusieurs couches du trafic.
Dans le cas d’un trafic passant par la méthode de proxy direct du SWG, ce dernier peut extraire le nom de domaine de l’en-tête hôte de la requête HTTP CONNECT et du champ d’indication du nom du serveur TLS (SNI).
Bien que les valeurs de l’en-tête hôte et du champ SNI TLS soient généralement alignées, elles peuvent différer dans certains cas.
Par conséquent, les GTS effectuent par défaut deux passages dans ce moteur de sécurité.
Le premier passage a lieu lorsque le SWG reçoit la requête HTTP CONNECT, tandis que le second passage a lieu lorsque le SWG reçoit le trafic TLS.
Cette approche garantit que le GTS peut évaluer avec précision la réputation du domaine et appliquer les politiques correspondantes.
Toutefois, les GTS sont conçus pour être intelligents et efficaces.
Si les noms de domaine extraits de la requête HTTP CONNECT et du champ SNI TLS sont identiques, le SWG reconnaît cette redondance et évite d’avoir à exécuter une deuxième fois le moteur de réputation.
Cette optimisation contribue à rationaliser le processus d’évaluation de la sécurité et à réduire les frais généraux de calcul inutiles, ce qui permet au SWG de maintenir des niveaux de performance élevés tout en garantissant une protection complète contre les menaces basée sur la réputation des domaines.
Moteur de contrôle d’accès
En plus de la protection contre les menaces basée sur la réputation, les SWG offrent de solides capacités de contrôle d’accès, permettant aux administrateurs de fournir un accès différencié aux utilisateurs lorsqu’ils accèdent à divers sites Internet.
Ce puissant moteur de sécurité permet aux administrateurs de créer des politiques basées sur des catégories de domaines, qui sont fournies par des fournisseurs réputés de renseignements sur les menaces.
En s’appuyant sur les catégories de domaines, les administrateurs de SWG peuvent simplifier leur gestion en classant un grand nombre de sites Internet dans quelques catégories globales.
Ce système de classification améliore l’efficacité et la facilité de création de politiques, garantissant que les administrateurs peuvent définir efficacement des mesures de contrôle d’accès sans avoir besoin d’une configuration granulaire pour chaque site individuel.
En outre, le moteur de contrôle d’accès offre également la possibilité de spécifier des noms de domaine individuels dans les politiques.
Cela permet aux administrateurs de contrôler finement l’accès à des sites spécifiques, en tenant compte des situations où des sites spécifiques nécessitent des autorisations ou des restrictions d’accès uniques.
La flexibilité du moteur de contrôle d’accès s’avère particulièrement utile dans les scénarios où des faux positifs se produisent dans le processus de catégorisation des domaines.
Dans ce cas, les administrateurs peuvent créer des exceptions dans les politiques afin de passer outre la catégorisation et de garantir un contrôle d’accès précis pour les sites concernés.
Cette capacité à gérer les exceptions permet aux administrateurs de maintenir un équilibre entre des mesures de sécurité strictes et la fourniture de l’accès nécessaire aux sites légitimes qui pourraient être mal classés.
Moteur d’inspection SASE TLS/SSL
Le moteur d’inspection TLS/SSL de SWG joue un rôle crucial dans les contrôles d’accès avancés et la protection contre les menaces qui nécessitent un accès au contenu des sessions TLS/SSL.
Cependant, l’inspection TLS nécessite le décryptage de ces sessions, ce qui requiert l’accès aux clés privées.
En tant qu’entité MITM (Man-In-The-Middle), le SWG n’a pas d’accès direct aux clés privées.
Pour surmonter cette limitation, les moteurs d’inspection TLS emploient généralement une technique qui consiste à imiter le certificat du serveur en utilisant l’autorité de certification (CA) de confiance de l’entreprise.
Le déroulement typique des étapes suivies par le moteur d’inspection TLS pour chaque nouvelle session TLS du client est le suivant :
- Établir une connexion TLS avec le service de destination (site Internet).
- Récupérer le certificat présenté par le service destinataire.
- Imiter le contenu du certificat, y compris sa durée de vie, pour créer un certificat factice.
- Signez le certificat fictif à l’aide de l’autorité de certification approuvée par l’entreprise.
- Présentez ce certificat fictif lors de la poignée de main TLS avec le client.
Pour que ce processus fonctionne de manière transparente sans provoquer de fenêtres contextuelles de sécurité dans les navigateurs, il est essentiel que la chaîne de certificats de l’autorité de certification de l’entreprise soit intégrée de manière sécurisée dans les machines des employés en tant qu’autorité de certification de confiance, généralement par l’intermédiaire de leur logiciel de gestion du système.
Pour minimiser la surcharge de calcul associée à la génération de clés et à la signature de certificats fictifs, le moteur d’inspection TLS met en cache les certificats fictifs et les clés privées correspondantes, et les réutilise jusqu’à ce que leur durée de vie expire.
Bien que l’inspection TLS soit très souhaitable pour la protection contre les menaces avancées et le contrôle d’accès, les entreprises peuvent avoir des cas spécifiques où le décryptage n’est pas autorisé.
Il peut s’agir de problèmes de confidentialité, notamment lors de l’accès à des sites bancaires, financiers ou de santé, ainsi que de scénarios dans lesquels l’épinglage de certificats est utilisé.
En outre, les entreprises peuvent choisir de ne pas activer l’inspection TLS pour le contenu qui est déjà vérifié pour les menaces avant que le cryptage TLS ne se produise du côté client, comme par le biais d’un navigateur ou d’extensions Office 365.
Pour offrir une certaine flexibilité dans la décision d’effectuer ou non le déchiffrement TLS, le moteur d’inspection TLS/SSL de SWG permet aux administrateurs de créer des politiques.
Ces politiques peuvent inclure des classifications de catégories de domaines, permettant aux administrateurs de contourner le déchiffrement TLS pour des catégories spécifiques telles que les sites financiers et de santé, ainsi que tout autre site pour lequel l’entreprise n’est pas à l’aise avec le déchiffrement.
En offrant un contrôle et une catégorisation basés sur des politiques, le moteur d’inspection TLS/SSL de SWG permet aux entreprises de trouver un équilibre entre le maintien de la confidentialité et de la sécurité tout en assurant une protection solide contre les menaces et des contrôles d’accès avancés.
Infrastructure PKI du GTS
Les services SASE sont intrinsèquement multi-locataires et s’adressent à plusieurs entreprises.
Dans ce contexte, certaines entreprises peuvent disposer de leur propre infrastructure à clé publique (PKI), tandis que d’autres peuvent ne disposer d’aucune infrastructure PKI.
Il est important de noter que le certificat de l’autorité de certification de l’entreprise (utilisé pour signer les certificats imités) doit avoir une durée de vie relativement courte, généralement de quelques jours, afin de garantir une sécurité solide.
La réémission régulière du certificat de l’autorité de certification est nécessaire pour maintenir un environnement sécurisé.
Pour garantir la sécurité de la clé privée du certificat de l’autorité de certification dans le contexte du groupe de travail, il est préférable de générer des certificats sur la base d’une demande de signature de certificat (CSR).
De nombreux GTS fournissent leur propre infrastructure PKI pour délivrer des certificats d’AC intermédiaires (certificats d’AC GTS) à leurs instances de plan de données GTS.
Lorsqu’une entreprise ne dispose pas de sa propre infrastructure PKI, l’infrastructure PKI du SWG crée automatiquement les certificats de l’autorité de certification mère et de l’autorité de certification racine au nom de l’entreprise individuelle.
Lorsqu’une entreprise dispose de sa propre infrastructure PKI, l’infrastructure PKI du SWG établit une communication avec l’infrastructure PKI de l’entreprise afin d’obtenir la signature du certificat de l’autorité de certification mère.
Une fois le certificat de l’AC mère obtenu, il est utilisé pour signer les certificats de l’AC du SWG, ce qui garantit l’authenticité et l’intégrité des certificats utilisés pour signer les certificats de mimétisme.
L’infrastructure PKI est considérée comme une composante essentielle du SWG car elle joue un rôle vital dans la sécurisation des clés privées utilisées pour signer les certificats fictifs.
En gérant efficacement l’infrastructure PKI, y compris la réémission régulière des certificats d’AC, et en adhérant aux pratiques de sécurité établies, les GTS peuvent garantir l’intégrité et la fiabilité des certificats utilisés dans l’environnement de service SASE à locataires multiples.
Moteurs de sécurité après l’inspection SSL
Après le décryptage TLS/SSL, le SWG utilise un ensemble de moteurs de sécurité pour traiter les sessions de trafic et identifier tout risque potentiel.
Ces moteurs de sécurité jouent un rôle crucial en assurant une protection complète contre les menaces
Moteur de sécurité pour la protection contre les menaces basée sur la réputation des URL
Les administrateurs de SWG ont la possibilité de créer des politiques basées sur des catégories d’URL, des scores de réputation d’URL et d’autres attributs pertinents, ce qui leur permet de définir efficacement des mesures de sécurité.
Bien que le moteur de protection contre les menaces basé sur la réputation du domaine fournisse une protection au niveau du domaine, il est parfois nécessaire d’effectuer une protection contre les menaces basée sur la réputation au niveau de l’URL.
Ceci est particulièrement important pour les sites web qui ont des sous-sections ou des URL différentes représentant des sections spécifiques du site.
Alors que la réputation globale du domaine peut être bonne, certaines sections individuelles du site peuvent être compromises ou présenter un risque.
C’est pourquoi le moteur de sécurité de la réputation basé sur l’URL est essentiel pour une protection complète, empêchant les utilisateurs d’accéder à des sites hébergeant des logiciels malveillants ou des sites d’hameçonnage.
En tenant compte de la réputation d’URL spécifiques, ce moteur améliore la précision de la détection des menaces et permet de bloquer de manière proactive les contenus potentiellement dangereux.
Comme indiqué précédemment dans la section « SWG Pre Decryption Security Engines », les scores de réputation dérivés des flux de renseignements sur les menaces peuvent parfois donner lieu à des faux positifs.
En outre, dans certains cas, les administrateurs peuvent souhaiter autoriser la poursuite d’une session de trafic en vue d’une inspection plus approfondie par les chasseurs de menaces.
En outre, si une protection complète a déjà été appliquée au niveau du client, il peut s’avérer inutile de dupliquer la protection contre les menaces au niveau de la passerelle.
Pour répondre à ces scénarios, les moteurs de protection contre les menaces liées à la réputation post-décryptage sont également pilotés par des politiques, ce qui permet aux administrateurs de créer des politiques d’exception.
Moteur de contrôle d’accès avancé
Outre la protection contre les menaces basée sur la réputation, les SWG offrent de solides capacités de contrôle d’accès avancé, permettant aux administrateurs d’imposer un accès différencié aux utilisateurs lorsqu’ils accèdent à divers sites Internet.
Ce moteur de contrôle d’accès avancé présente des similitudes avec le « moteur de contrôle d’accès » décrit précédemment dans la section « SWG Pre Decryption Security Engines ».
Cependant, comme il fonctionne après le décryptage TLS, il offre des options de contrôle d’accès encore plus sophistiquées basées sur les URL, les méthodes HTTP et les en-têtes de requête HTTP.
Le moteur de contrôle d’accès avancé s’appuie sur les catégories d’URL, qui permettent une classification plus précise et plus granulaire des sites web que les catégories de domaines.
En utilisant les catégories d’URL, les administrateurs peuvent définir des politiques efficaces pour réguler l’accès sur la base d’URL spécifiques, ce qui permet un contrôle d’accès très fin.
Tout comme le moteur de contrôle d’accès, le moteur de contrôle d’accès avancé offre également la possibilité de créer des exceptions, afin de répondre aux scénarios où des faux positifs se produisent dans la catégorisation des URL.
Ces exceptions permettent aux administrateurs d’outrepasser les politiques de contrôle d’accès par défaut pour des sites ou des contenus spécifiques qui pourraient être mal classés ou nécessiter des autorisations d’accès spéciales.
Moteurs de sécurité avec inspection du contenu
Jusqu’à présent, les moteurs de sécurité décrits se sont concentrés sur l’arrêt des sessions de trafic lorsque des menaces sont détectées ou que l’accès est refusé.
Ces moteurs fonctionnent sur la base des informations HTTP initiales et des en-têtes de requête, ce qui permet de suspendre le trafic jusqu’à ce qu’il soit inspecté.
Cependant, il existe d’autres moteurs de sécurité qui nécessitent une inspection plus approfondie du contenu des sessions HTTP.
Ces moteurs doivent avoir accès au contenu des requêtes et des réponses pour détecter efficacement les menaces.
Contrairement aux moteurs précédents, ces moteurs d’inspection du contenu n’arrêtent pas l’ensemble du flux de trafic, mais interrompent le trafic spécifique dès qu’une menace est détectée.
Certains de ces moteurs de sécurité nécessitent non seulement l’accès à l’intégralité du contenu, mais ils peuvent également avoir besoin d’effectuer un traitement supplémentaire du contenu avant d’utiliser les flux de renseignements sur les menaces pour identifier les menaces potentielles.
Par exemple, si un fichier est compressé, il doit être décompressé pour être analysé.
En outre, certains fournisseurs de renseignements sur les menaces prévoient l’extraction de flux de texte à partir de différents types de fichiers tels que les documents Word, les présentations PowerPoint, les fichiers OpenOffice, les feuilles de calcul Excel, les PDF, etc.
Comme ces extractions et ces détections de menaces peuvent nécessiter des calculs intensifs, elles peuvent introduire un temps de latence dans les transactions HTTP.
Pour y remédier, bon nombre de ces moteurs de sécurité proposent deux options : la capture en ligne avec détection des menaces et application en ligne, ou la capture en ligne avec détection des menaces hors ligne.
Dans le mode de détection en ligne, le trafic est capturé et la détection des menaces a lieu au sein de la session HTTP, ce qui permet des actions immédiates de mise en application.
Dans le mode de détection hors ligne, le trafic est toujours capturé, mais l’extraction du flux de texte et la détection des menaces à l’aide de flux de renseignements sur les menaces sont effectuées en dehors de la session HTTP.
Dans ce mode, le trafic incriminé n’est pas immédiatement stoppé, mais la visibilité sur les menaces potentielles est maintenue.
Ces deux modes offrent aux entreprises la possibilité de trouver un équilibre entre la protection contre les menaces en ligne et l’expérience de l’utilisateur, ce qui leur permet de choisir l’approche qui répond le mieux à leurs besoins.
Moteur de sécurité pour la protection contre les menaces basée sur la réputation des fichiers
Le SWG intègre un moteur de sécurité de protection contre les menaces basé sur la réputation des fichiers, qui joue un rôle essentiel dans l’évaluation de la réputation des fichiers transférés par HTTP.
Ce moteur exploite la fonctionnalité de collecte de renseignements sur les menaces du SWG, qui analyse en permanence le contenu passant par la passerelle.
Au fur et à mesure du trafic, le moteur de renseignements sur les menaces calcule le hachage du contenu, à la fois pendant le transfert et à la fin du fichier, afin de déterminer le score de réputation du fichier.
Si nécessaire, le SWG décompresse le contenu avant de calculer le hachage.
Les administrateurs ont la possibilité de créer des politiques qui tiennent compte de la note de réputation du fichier et qui autorisent ou refusent la session de trafic sur la base de cette évaluation.
Le moteur de sécurité effectue l’évaluation de la politique et interrompt le transfert du trafic dès que la menace est détectée.
Moteur de sécurité anti-malware
Le moteur de sécurité anti-programmes malveillants intégré dans les SWG intègre des fonctions avancées de renseignement sur les menaces et de lutte contre les programmes malveillants afin de détecter et d’empêcher efficacement les virus et les programmes malveillants d’infiltrer le flux de trafic et d’atteindre les appareils des utilisateurs.
Ce moteur joue également un rôle crucial en empêchant les utilisateurs de propager des logiciels malveillants à leur insu, en surveillant activement le trafic dans les deux sens.
Comme indiqué précédemment, ces moteurs de sécurité utilisent diverses techniques pour analyser le contenu des fichiers locaux.
Si nécessaire, le moteur décompresse les fichiers et extrait le flux de texte, qui est ensuite soumis à un examen approfondi à l’aide de fonctions anti-programmes malveillants de veille sur les menaces.
Le flux de texte est particulièrement important pour l’analyse basée sur les signatures, qui permet de détecter les souches connues de logiciels malveillants.
Les solutions SWG offrent une grande flexibilité aux administrateurs, leur permettant de créer des politiques qui dictent les actions appropriées à entreprendre lors de la détection de différents types de logiciels malveillants et en tenant compte du niveau de confiance fourni par le fournisseur de renseignements sur les menaces.
Cela garantit que les réponses aux logiciels malveillants sont adaptées à la menace spécifique et au niveau de risque.
En outre, les SWG permettent de créer des exceptions dans les politiques pour résoudre les problèmes de performance, les faux positifs et pour faciliter les inspections plus approfondies des menaces par les chasseurs de menaces.
Cette flexibilité permet aux administrateurs d’affiner les mesures de sécurité et de trouver le juste équilibre entre protection et efficacité opérationnelle.
Moteur de sécurité pour la détection et la prévention des intrusions (IDP)
Le moteur de sécurité IDP fait partie intégrante des SWG et est conçu pour identifier les exploits potentiels dans les flux de trafic.
L’exploitation des vulnérabilités des systèmes est une méthode couramment employée par les attaquants pour obtenir un accès non autorisé, introduire des rootkits et distribuer des logiciels malveillants.
Ces vulnérabilités peuvent prendre la forme d’un débordement de la mémoire tampon ou de la pile, d’une validation inadéquate des entrées ou d’une mauvaise configuration des systèmes et des applications.
L’IDPS de SWG peut détecter les attaques visant les machines clientes et identifier les clients compromis qui tentent d’exploiter des services tiers sur Internet, empêchant ainsi les actifs de l’entreprise de devenir des rampes de lancement pour d’autres attaques.
Le moteur IDP de SWG permet une détection précise avec moins de faux positifs, et ce pour plusieurs raisons :
- Accès à des données claires: Le moteur IDP peut accéder à des données de trafic non chiffrées, ce qui lui permet d’analyser et de détecter efficacement les attaques potentielles.
- Accès aux données réassemblées et réordonnées: Le moteur peut accéder à des flux de données qui ont été reconstitués et réordonnés, ce qui garantit une analyse complète et la détection de toute activité malveillante.
- Accès aux données extraites et décodées du protocole HTTP: En disposant des données extraites et décodées du proxy dans le cadre des SWG, le moteur IDP bénéficie d’une meilleure visibilité du contenu, ce qui permet une détection plus efficace des schémas d’attaque.
Le moteur IDP utilise différents types de signatures pour détecter les attaques, notamment des signatures d’anomalies de protocole, des signatures d’anomalies de trafic et des signatures basées sur le contenu.
Les fournisseurs de renseignements sur les menaces proposent de vastes bases de données de signatures, mais le chargement de chaque signature peut avoir un impact significatif sur les performances du système.
Pour remédier à ce problème, les GTS offrent des capacités de réglage des signatures basées sur des facteurs tels que l’applicabilité des signatures.
Par exemple, les signatures qui ne sont pas pertinentes pour le trafic basé sur HTTP ou celles qui inspectent le contenu non décrypté dans HTTP peuvent être évitées.
Le réglage peut également prendre en compte des facteurs tels que l’impact du risque, les niveaux de confiance des signatures fournies par les fournisseurs de renseignements sur les menaces.
Les solutions SWG offrent également une sélection du trafic basée sur des règles, ce qui permet aux administrateurs de déterminer quel trafic doit être traité par l’IDP.
Cette flexibilité permet d’éviter les analyses IDP redondantes sur le trafic qui a déjà été analysé pour détecter les attaques au niveau du point d’extrémité du client.
Moteur de sécurité pour la prévention de la perte de données
L’inclusion du moteur de sécurité DLP (Data Loss Prevention) dans les GTS est de plus en plus fréquente.
Ce puissant moteur est conçu pour empêcher les utilisateurs de transmettre ou de recevoir par inadvertance des informations financières, comptables ou commerciales confidentielles sans autorisation appropriée.
En s’appuyant sur des contrôles basés sur des politiques et sur les attributs des utilisateurs, le moteur de sécurité DLP surveille et atténue le risque de fuites de données accidentelles ou intentionnelles.
Pour remplir efficacement son rôle, le moteur de sécurité DLP doit avoir accès au contenu complet des transmissions de données.
Il extrait les flux de texte, ce qui lui permet d’analyser et de classer les données en fonction de leur sensibilité.
Les fournisseurs de renseignements sur la classification des données utilisent le flux de texte pour générer des résultats de classification, qui englobent divers attributs tels que les étiquettes de conformité (par exemple, les informations personnelles identifiables ou PII), les données génériques des documents confidentiels (par exemple, les informations financières) et les données sensibles personnalisées.
Pour faciliter un contrôle précis des données sensibles, les GTS offrent aux administrateurs la possibilité de créer des politiques qui intègrent différents attributs et valeurs de classification.
Ces règles, combinées à des attributs génériques de correspondance, permettent aux administrateurs de définir des contrôles d’accès granulaires et de spécifier la manière dont les différents types de données sensibles doivent être traités.
Moteurs de sécurité personnalisés (apportez votre propre moteur de sécurité)
Bien que les fournisseurs de SASE/SWG offrent une couverture de sécurité complète, l’évolution constante du paysage des menaces, en particulier les attaques de type « zero-day », peut nécessiter des améliorations supplémentaires.
Les équipes de sécurité des entreprises sont souvent proactives dans leurs efforts de chasse aux menaces, identifiant de nouveaux schémas d’attaque.
Elles peuvent également recevoir de nouveaux modèles de menaces de la part d’autres équipes de sécurité de l’entreprise par le biais de l’échange de renseignements sur les menaces.
Dans les deux cas, ces équipes peuvent souhaiter que les GTS protègent leurs actifs contre ces nouveaux modèles de menaces et d’attaques.
Bien que les GTS disposent généralement de moteurs IDP et d’autres moteurs de sécurité bien configurés, il arrive que les systèmes de configuration manquent de souplesse pour créer des règles permettant de détecter des schémas de menaces complexes.
S’appuyer uniquement sur les fournisseurs de GTS pour ajouter une nouvelle logique logicielle pour ces protections peut prendre beaucoup de temps.
En outre, les modèles de menaces observés par les entreprises peuvent être spécifiques à leur environnement et ne pas s’appliquer à une utilisation générique.
Dans ce cas, les fournisseurs de SWG peuvent hésiter à publier de nouveaux logiciels en temps voulu pour répondre à ces exigences personnalisées.
Il est donc nécessaire de disposer d’une certaine souplesse pour intégrer de nouveaux moteurs de sécurité programmatiques personnalisés mis au point par les services de sécurité des entreprises ou les fournisseurs de services de sécurité gérés (MSSP).
Les solutions SWG doivent fournir des interfaces ouvertes pour l’intégration de nouveaux moteurs de sécurité.
Certains SWG offrent la possibilité d’ajouter des scripts Lua et des modules WebAssembly (WASM).
Grâce à ces capacités, les organisations peuvent développer de nouveaux moteurs de sécurité tels que des scripts Lua ou des modules WASM et les intégrer dans l’infrastructure du SWG.
Les GTS veillent à ce que ces moteurs personnalisés n’interfèrent pas avec d’autres moteurs de sécurité et qu’ils consomment des ressources informatiques dans les limites configurées par les administrateurs des GTS.
En permettant l’intégration de moteurs de sécurité programmatiques personnalisés, les GTS donnent aux entreprises les moyens d’améliorer leur posture de sécurité, de répondre rapidement aux menaces émergentes et de protéger efficacement leurs actifs.
Cette flexibilité permet aux entreprises de tirer parti de leur expertise interne en matière de sécurité ou de collaborer avec des fournisseurs de services de sécurité mobile pour développer des moteurs de sécurité personnalisés qui répondent à leurs exigences uniques en matière de sécurité.
Résumé
En résumé, cet article a fourni une vue d’ensemble des moteurs de sécurité pour l’accès sécurisé à Internet.
Il est important de noter que l’inclusion de tous les moteurs de sécurité peut varier d’une solution SASE/SWG à l’autre, et que de nouveaux moteurs de sécurité peuvent être ajoutés au fur et à mesure de l’émergence de nouveaux types de menaces Internet.
Les solutions SASE/SWG s’appuient sur des moteurs de sécurité tels que la protection contre les menaces basée sur la réputation IP, la protection contre les menaces basée sur la réputation du domaine, le contrôle d’accès, l’inspection TLS/SSL, la protection contre les menaces basée sur la réputation des fichiers, l’anti-malware, la détection et la prévention des intrusions, la prévention de la perte de données, et d’autres encore.
Ces moteurs de sécurité renforcent les mesures de sécurité globales et offrent une protection contre diverses menaces lors de l’accès à l’internet.
Le paysage des menaces continuant d’évoluer, les entreprises doivent régulièrement évaluer leurs besoins en matière de sécurité et s’assurer que la solution SASE qu’elles ont choisie intègre les moteurs de sécurité nécessaires pour atténuer efficacement les risques émergents.
-
Blog CTO Insights
La série de blogs Aryaka CTO Insights fournit un leadership éclairé sur les thèmes du réseau, de la sécurité et de la SASE.
Pour les spécifications des produits Aryaka, consultez les fiches techniques d’Aryaka.
