Cisco vient de commercialiser son système de surveillance Encrypted Traffic Analytics (ETA). Lancé en juin dernier, il a d’abord été proposé en privé. Aujourd’hui, Cisco déploie ETA hors des commutateurs d’entreprises pour lesquels il a été conçu au départ. La solution est aussi disponible sur le matériel de réseau de datacenters d’ancienne et de nouvelle génération.

Pragmatiquement, ETA surveille le réseau de son utilisateur et recueille des informations sur les flux de trafic grâce à une série de capteurs placés dans tout le réseau. Des moteurs d’analyse locaux combinés à une plate-forme cloud interprètent les métadonnées anonymisées sur le trafic réseau et bloquent le trafic malveillant, même s’il est chiffré.

Cisco a présenté ETA lors du lancement de sa stratégie de networking basé sur l'intention (IBN) car il utilise certains des logiciels développés par la société pour IBN, notamment des composants d'apprentissage automatique pour se protéger contre les vulnérabilités changeantes.

Comment fonctionne ETA

La collecte des métadonnées est réalisée à l'aide d'une version modifiée de l’architecture de surveillance NetFlow, ce qui permet à ETA de rechercher les caractéristiques qui indiquent que le trafic peut être malveillant. Il inspecte le paquet de données initial, qui est traduit en clair, même dans le trafic crypté. Il enregistre également la taille, la forme et la séquence des paquets, le temps nécessaire pour traverser le réseau et surveille d’autres caractéristiques suspectes, comme un certificat auto-signé, ou s'il possède des identifiants de commande et de contrôle.

« ETA utilise la visibilité réseau et l'apprentissage machine multicouche pour différencier le trafic bénin et malveillant » explique Cisco dans un billet de blog. Si des caractéristiques hostiles sont détectées, elles sont signalées et inspectées de manière plus approfondie. Leur blocage potentiel est assuré par un dispositif de sécurité existant tel qu'un pare-feu.

ETA est scindé en deux. Le système de surveillance, nommé StealthWatch, et la base de données sur le cloud, Talos. Il est capable de signaler au logiciel de gestion de réseau DNA Center de Cisco un trafic malintentionné pour s'assurer que ce dernier est bloqué sur l'ensemble du réseau. Cisco affirme utiliser des algorithmes d'apprentissage automatique pour qu'ETA recherche et s’adapte à de nouvelles vulnérabilités.

80% du trafic web crypté en 2019

De plus en plus de trafic est chiffré. Cisco estime que 55% du trafic sur le web est désormais crypté, et Gartner prévoit qu’il le sera à 80% d'ici 2019. Parallèlement, jusqu'à 41% des pirates utilisent le chiffrement pour échapper à la détection, indique Cisco.

Habituellement, les entreprises utilisent plusieurs options pour assurer leur sécurité du trafic crypté dans leurs réseaux. La plupart du temps, il s’agit d’un pare-feu nouvelle génération, d’un inspecteur DPI ou SSL. L'inspection SSL, par exemple, intercepte et déchiffre le trafic pour déterminer s'il est mauvais. La connexion n’est réalisée qu’à partir du moment où elle est sécurisée. Mais les malwares peuvent infecter ce processus. Scott Harrell, vice-président de Cisco, soutient qu’il est inefficace de déchiffrer tout le trafic puis de le recrypter avant d’autoriser les utilisateurs à y accéder.

Un enjeu pour l’IoT

Le vice-président de Cisco ajoute qu’ETA pourrait jouer un rôle important dans le secteur de l’IoT. Cette solution n’aurait pas forcément besoin de pare-feu pour surveiller le trafic sur des appareils IoT à petit facteur de forme.

Le fabricant affirme qu’ETA apporte un autre avantage : la conformité cryptographique. Certaines entreprises doivent utiliser certains niveaux de chiffrement pour des raisons règlementaires. Par son analyse des métadonnées, le système peut confirmer le type et le niveau de certains modes de cryptage utilisés.

Encrypted traffic analytics est disponible sur les équipements des datacenters, du siège et des sites distants, y compris la ligne de commutation Catalyst 9000 ; ainsi que tous les routeurs ISR, ASR et le routeur de service cloud (CSR) proposés par Cisco. ETA est inclus dans les achats de ces périphériques matériels avec un abonnement au logiciel Cisco ONE incluant Stealthwatch.