9 mai 2017

La technologie CounterACT de Forescout découvre, classe et évalue les appareils permettant d’offrir la visibilité en temps réel des équipements connectés au réseau ainsi que la conformité à la politique de sécurité. La solution est livrée avec des modules de base permettant une intégration ouverte avec de nombreux composants réseaux et sécurité (switch, antivirus etc.).

 

Il est cependant possible, au travers de modules complémentaires soumis à licence (extended modules), d’améliorer l’interopérabilité entre le CounterACT et les différents composants de sécurité en place. Ces modules, développés en collaboration avec les partenaires de Forescout, permettent d’orchestrer les échanges d’informations entre les équipements et d’automatiser les actions de résolution des vulnérabilités.

Ces modules sont disponibles pour les composants d’infrastructures suivants :

  • Advanced Threat Detection : le système ATD détecte un logiciel malveillant et remonte les informations (menace et postes infectés) au CounterACT. Selon la politique configurée, le CounterACT détecte les infections sur les autres postes connectés et lance les actions d’atténuation (isolation, information).

https://www.forescout.com/company/resources/advanced-threat-defense-atd-solution-brief/

  • Next-Generation Firewall : le CounterACT détecte et classifie les équipements sur le réseau et envoie les informations de l’équipement, de l’utilisateur au firewall. Le firewall met à jour ses objets dynamiques utilisés dans les règles de sécurité afin d’appliquer automatiquement les autorisations adéquates.

https://www.forescout.com/company/resources/next-generation-firewalls-ngfw-solution-brief/

  • IT Service Management : le CounterACT détecte et classifie les équipements sur le réseau et envoie les informations de configuration et les propriétés de l’équipement à l’ITSM qui met à jour la CMDB en temps réel. Le CounterACT peut par ailleurs importer et utiliser les propriétés de la CMDB.

https://www.forescout.com/company/resources/forescout-counteract-advanced-endpoint-visibility-itam-cmdb-white-paper/

  • Enterprise Mobility Management : CounterACT détecte et établit le profil des appareils mobiles connectés au réseau (avec ou sans agent) et fournit au système EMM les informations. CounterACT met en œuvre les politiques de sécurité et contrôle la conformité des équipements. Il peut par ailleurs rediriger un appareil sans agent vers l’app store pour télécharger l’agent EMM.

https://www.forescout.com/company/resources/enterprise-mobility-management-emm-solution-brief/

  • Vulnerability Assessment : CounterACT isole dans un vlan un appareil se connectant au réseau pour que le système d’évaluation des vulnérabilités puisse analyser ses vulnérabilités ou lorsque certains critères sont rencontrés (modification de configuration, applications spécifiques installées). Les résultats sont ensuite transmis au CounterACT par le système d’évaluation qui pourra lancer des actions d’atténuation.

https://www.forescout.com/company/resources/vulnerability-assessment-va-solution-brief/

  • Endpoint Protection Platform : CounterACT détecte les points d’extrémités connectés au réseau et informe l’EPP. Si l’agent est présent, l’EPP fournit au CounterACT les informations de conformité de l’appareil. CounterACT peut mener diverses actions telles que l’isolation des points d’extrémités ou la destruction de processus. Dans le cas où l’agent n’est pas présent, CounterACT demande à l’EPP de l’installer (ou redirige vers une page de correction).

https://www.forescout.com/company/resources/endpoint-protection-platforms-epp-solution-brief/

  • Security Information & Event Management : CounterACT informe le SIEM des postes infectés qui lui retourne des instructions d’atténuation basées sur la politique afin de répondre à la menace. Les actions peuvent être la mise en quarantaine, le lancement d’une analyse par un produit tierce (VA, EPP) ou la mise en œuvre de mesures correctives.

https://www.forescout.com/company/resources/security-information-and-event-management-siem-solution-brief/

 

Pour illustrer cette interopérabilité, nous prendrons l’exemple d’une segmentation basée sur l’identité utilisateur et la conformité à la politique de sécurité utilisant le module étendu Palo Alto.

L’utilisateur « lambda » se connecte au réseau. CounterACT reconnaît l’utilisateur comme appartenant au domaine et classe son poste de travail comme conforme à la politique de sécurité : il enverra au Palo Alto le tag « corporate » associé à l’adresse IP. Ce tag, membre d’un « address group » de type dynamique, est utilisé dans une règle de sécurité permettant d’accéder au réseau d’entreprises et à Internet. L’utilisateur lambda pourra donc accéder aux ressources de l’entreprise.

L’utilisateur « gamma » se connecte ensuite au réseau. CounterACT reconnaît l’utilisateur mais les conditions de conformité ne sont pas remplies par le poste de travail. CounterACT enverra le tag «  non conforme », tag membre d’un « address group » ne permettant pas l’accès au réseau d’entreprises mais autorisera l’accès à internet.

Toute cette reconnaissance et ces autorisations firewall se font sans action manuelle et peuvent être revues en temps réel si le poste gamma devient conforme (CounterACT enverra un nouveau tag si les tests suivants sont réussis).

 

Le tableau ci-dessous résume l’ensemble des modules étendus disponibles à ce jour :

Ces modules étendus, élargissent le champ d’action de CounterACT. Très simples à intégrer et à utiliser (même sur les technologies tierces), ils permettent de donner une valeur ajoutée à la solution (sous réserve que les technologies partenaires soient déjà existantes).

La visibilité du réseau, axe majeur de la solution, s’en trouve améliorée également pour les autres équipements de l’infrastructure de sécurité et permet une meilleure gestion des vulnérabilités.

Partager :

Auteurs