2 avril 2013

Solera Networks est une solution d’analyse sécuritaire. Son objectif est de fournir une visibilité de l’ensemble des flux circulant au sein d’un réseau. Ainsi le déploiement des sondes en différents points critiques permet de corréler et d’obtenir une vue précise des actions réalisées au sein du réseau. Solera Networks se positionne donc comme un acteur complémentaire d’un SIEM en permettant d’apporter  une visibilité réseau sur des évènements remontés dans des solutions telles que Q1 Las ou Splunk.

 

Les sondes Solera Networks, en fournissant une solution de « Big Data Analytics », permettent d’indexer puis de rechercher des informations directement dans les flux réseaux capturés. Imaginons une alerte levée par un serveur concernant des erreurs d’authentifications. Cette information identifie un acte mais ne permet pas de comprendre la raison et l’origine. La solution permet d’identifier si cette alerte est due à une action isolée de l’utilisateur ou à une infection. Pour cela, Solera Networks permet d’afficher l’ensemble des communications de l’utilisateur, récupérer le fichier à l’origine de l’infection, identifier une éventuelle phase de contamination, vérifier la présence d’éventuelles fuites d’informations… En outre, il est possible d’extraire une capture réseau correspondant à une attaque, et de l’envoyer à un éditeur tiers d’IPS, d’anti-virus, de firewall ou autre équipement de sécurité pour qu’il fournisse un correctif. Cette action permet de gagner un temps précieux, puisque l’on fait précisément ce qu’il faut identifier et bloquer.

 

De plus, la mise en place des sondes Solera Networks étant réalisée en écoute passive du réseau, le déploiement se fait de manière rapide et sans impact sur la production tout en donnant de la visibilité de manière instantanée sur l’ensemble des flux supervisés. La solution peut en outre être couplée avec d’autres produits de sécurité : Splunk, FireEye, PaloAlto, Sourcefire, Q1Labs, McAfee, AlienVault, ArcSight,… Il ne s’agit pas de simples partenariats marketing, mais de vraies intégrations, visant à enrichir les données de chaque équipementier.

 

Pour résumer, la solution Solera Networks se positionne comme un enregistreur réseau orienté sécurité, permettant d’identifier des évènements de sécurité dans un système d’information. Le couplage avec la plupart des acteurs du marché fait qu’un évènement n’est plus classé par défaut comme un « Faux Positif » mais peut être facilement qualifié. On arrive grâce à ça à avoir une vraie maîtrise de la sécurité de son réseau.

 

Notre première référence utilise Solera Networks pour diagnostiquer rapidement ce qu’il se passe lors d’attaques violentes : identification des machines impactées, cartographie des échanges, extraction des fichiers infectés ou des commandes passées,… L’enregistrement des échanges permet d’avoir une preuve formelle, mais également de mettre en place rapidement les correctifs qui vont bien (modification de la politique de sécurité, application de patchs, mise en place de fonctions de sécurité complémentaires,…). La solution est intégrée sur chaque SI de façon très rapide (moins d’1 heure), et en quelques jours le nécessaire est fait pour identifier et bloquer les menaces.

Partager :

Auteurs