Infoblox, qui a lancé son module DNS Firewall il y a quatre ans, a depuis confirmé sa stratégie concentrée sur la cyber-sécurité avec le développement d'appliances anti-DDoS, et le rachat de la société IID spécialisée dans le domaine de la Threat Intelligence. Cette acquisition a permis au leader du marché du DNS/DHCP/IPAM d'enrichir son portefeuille de produits et de proposer le service ActiveTrust Cloud. Infoblox ActiveTrust Cloud offre de la visibilité sur les périphériques compromis et bloque les exfiltrations de données, les communications de callback ou de ransomwares basées sur le protocole DNS. Proposée en tant que solution SaaS, Activetrust Cloud complète l'offre on-premise d'Infoblox et permet aux entreprises d'adresser les besoins suivants :
- Protection des employés nomades ou travaillant à domicile,
- Protection des postes ou tablettes à usage mixte personnel/professionnel (BYOD),
- Protection des succursales possédant un accès Internet local.
Infoblox apporte ainsi un niveau de sécurité complémentaire aux solutions de sécurité de type next-gen firewalls, IPS ou proxies.
Infoblox ActiveTrust Cloud - DNS Firewall :
La solution s'appuie sur les bases de réputation d'Infoblox (RPZ feeds) et sur une analyse comportementale des flux DNS. Le portail d'administration d'ActiveTrust Cloud permet quant à lui d'accéder à un outil de reporting et d'analyse rétrospective des évènements de sécurité. Enfin le couplage avec la base de Threat Intelligence d'Infoblox enrichie les logs et donne un contexte aux données qu'ils contiennent. Ces informations sont essentielles et constituent une aide précieuse pour les analystes sécurité afin de comprendre les méthodes d'attaques, leur portée et ainsi proposer une solution de protection adéquate. Afin d'utiliser l'ensemble des fonctionnalités d'ActiveTrust Cloud, il est recommandé d'installer sur les postes clients un agent qui permet :
- la redirection de toutes les requêtes DNS vers la plateforme ActiveTrust Cloud,
- le chiffrement de l'identifiant du poste client dans les requêtes DNS de sorte à enrichir le reporting,
- la bascule automatique en "bypass" lorsque le terminal est sur un réseau d'entreprise de confiance.
Même si la protection d'ActiveTrust Cloud est opérationnelle sans agent, ce dernier est nécessaire pour corréler les évènements de sécurité d'un poste client. La solution est disponible en deux versions : Standard et Plus
- la licence Standard propose la fonctionnalité DNS firewall et un reporting basique (nombre et type de malwares bloqués),
- la licence Plus propose en complément l'interaction avec la base de Threat Intelligence et le blocage des exfiltrations de données utilisant DNS ; le reporting est également plus riche et permet de remonter jusqu'à l'utilisateur et l'appareil utilisé pour chaque évènement de sécurité.
ActiveTrust Cloud est ainsi une solution complète, allant de la protection des postes de travail à l'analyse des évènements de sécurité, en passant par un outil d'aide à la décision pour l'équipe sécurité d'une entreprise. En guise de conclusion, voici le lien vers une vidéo de 2 min illustrant cette introduction à ActiveTrust Cloud : Présentation ActiveTrust Cloud Nomios est à votre disposition pour tout complément d'information et vous accompagner dans le cadre d'un Proof Of Concept.
