Basé sur l’IA, le service SOC Insights d’Infoblox, disponible dès maintenant, est capable de repérer rapidement les erreurs de configuration et les activités à haut risque afin d’aider les entreprises à réduire les risques et à accélérer les réponses aux menaces DNS.
Pour renforcer son portefeuille de protection du système de noms de domaine (DNS) et améliorer la sécurité des ressources de réseau DNS largement distribuées des entreprises, Infoblox a déployé une solution basée sur l’IA appelée SOC Insights. Le service est une extension cloud de l’offre BloxOne DNS Threat Defense du fournisseur. Selon Craig Sanderson, vice-président de la sécurité et de la gestion des produits chez Infoblox, SOC Insights permet aux clients d’utiliser les renseignements sur les menaces DNS pour bloquer ces menaces de manière proactive et fournir des analyses à l’équipe chargée des opérations de sécurité. « Cette offre combinée de SOC Insights avec l’IA a pour objectif de réduire le temps de réponse en transformant de grandes quantités de données d’événements de sécurité, de réseau et de renseignements DNS en un ensemble gérable d’informations immédiates et exploitables », a expliqué M. Sanderson. AI SOC Insights prend en compte les données réseau et de sécurité provenant de l’ensemble de données DNS d’Infoblox et de sources tierces, puis utilise la technologie IA pour corréler les événements, les classer par ordre de priorité et proposer des recommandations de résolution. « On peut ainsi non seulement accélérer la détection et la réponse aux menaces, mais également soulager les analystes SOC d’une lourde tâche », a ajouté M. Sanderson.
« Le DNS sert de plan de contrôle pour les réseaux d’entreprise, mais il sert aussi un plan de contrôle pour les adversaires et les logiciels malveillants », a rappelé par ailleurs M. Sanderson. « Ce qui peut poser problème, car le plus souvent, ce n’est pas l’équipe de sécurité qui examine le trafic DNS, mais les responsables du réseau, ce qui suppose qu’ils doivent être capables de passer en revue les milliards d’événements DNS envoyés chaque jour, en essayant d’identifier les centaines de milliers de domaines DNS enregistrés chaque semaine. Il est très difficile d’identifier ce que font les cyberpirates, souvent cachés à la vue de tous », a poursuivi M. Sanderson. « L’IA peut identifier les données les plus importantes à travers tout ce bruit », a encore déclaré M. Sanderson, citant l’exemple d’un client anonyme qui a récemment réduit quelque 500 000 événements en 24 informations exploitables. De plus, selon M. Sanderson, « SOC Insights peut repérer les erreurs de configuration, les activités à haut risque et d’autres comportements pour aider les entreprises à renforcer leur posture de sécurité et à atténuer les risques de manière proactive ».
Le détournement DNS très pratiqué
La protection du DNS est un élément central de la sécurité des entreprises. En effet, le DNS, familièrement appelé annuaire de l’Internet, apporte un système de dénomination décentralisé pour les ordinateurs en réseau et les services connectés à Internet ou à un réseau privé. La technologie traduit les noms de domaine en adresses IP nécessaires à la localisation et à l’identification des services et appareils informatiques avec les protocoles réseau sous-jacents. Selon l’équipe de recherche sur les menaces de l’Unité 42 de Palo Alto Networks, en raison de son utilisation généralisée, le DNS offre une surface d’attaque massive et souvent négligée qui nécessite le même examen et la même protection que le web, le courrier électronique et d’autres services. « Le DNS peut servir à diffuser des logiciels malveillants, pour le commandement et le contrôle (C2) ou l’exfiltration de données », a écrit l’équipe de l’Unité 42 dans un livre blanc sur le sujet. « Les adversaires profitent de l’omniprésence du DNS pour l’utiliser de manière abusive à différents stades d’une attaque – près de 85 % des logiciels malveillants utilisent le DNS à des fins malveillantes. Parallèlement, de nombreuses équipes de sécurité manquent de visibilité sur le trafic DNS et sur la façon dont les menaces utilisent le DNS pour garder le contrôle des appareils infectés ».
Dans une récente étude, le consultant Enterprise Management Associates (EMA) s’est intéressé aux problèmes de sécurité DNS les plus dommageables pour les entreprises. Le détournement ou la redirection DNS, qui consiste à intercepter les requêtes DNS des terminaux clients et d’orienter les tentatives de connexion vers une mauvaise adresse IP, arrivent en tête des réponses de l’enquête. Souvent, les pirates y parviennent en infectant les clients avec des logiciels malveillants de manière à rediriger les requêtes vers un serveur DNS malhonnête, ou en piratant un serveur DNS légitime et en détournant les requêtes à une échelle plus massive. Selon Shamus McGillicuddy, directeur de recherche à l’EMA, cette dernière méthode peut avoir un large rayon d’action, d’où l’importance pour les entreprises de protéger l’infrastructure DNS contre les pirates. Un autre problème de sécurité DNS est le tunneling DNS, utilisé pour échapper à la détection tout en extrayant des données d’un système compromis et en les exfiltrant. Les pirates exploitent généralement ce problème une fois qu’ils ont pénétré dans un réseau, et ils cachent les données extraites dans des requêtes DNS sortantes. « D’où l’importance de surveiller de près le trafic DNS avec des outils de contrôle de la sécurité pour repérer certaines anomalies, par exemple des tailles de paquets anormalement élevées », a préconisé M. McGillicuddy.
HPE prévoit d’utiliser la technologie Athonet 5G privée dans ses services de mise en réseau de Greenlake et Aruba. D’autres intégrations produits sont à prévoir dans les prochains mois.
Moins d’un mois après le lancement de son offre Private 5G, le fournisseur américain cherche encore à faire sensation en la matière. HPE a mis la main sur le fabricant italien de technologies cellulaires privées Athonet pour un montant non divulgué. Fondée en 2005, Athonet affirme que son objectif est d’accélérer et de simplifier les déploiements privés de la 5G. Parmi ses offres, le fournisseur propose des kits de démarrage CBRS et 5G qui incluent le noyau de paquet mobile Athonet, des cartes SIM, un choix de composants radio – entre autres- nécessaires pour configurer rapidement des réseaux cellulaires privés. En 2022, la société a formé le 5G Consortium rassemblant les fournisseurs pour développer un écosystème 5G. Ce dernier comprend Google Cloud, AWS, Airspan, Bearcom et Digi. La technologie Athonet élargira le portefeuille 5G de HPE, qui comprend des équipements 5G privés intégrés à son équipement WiFi Aruba pour offrir la possibilité d’utiliser la technologie qui répond le mieux aux exigences des entreprises. HPE a également intégré la technologie coeur de réseau 5G qu’il propose aux fournisseurs de services.
HPE a déclaré qu’il proposera la 5G privée d’Athonet dans le cadre de sa plateforme globale de services edge-to-cloud Green Lake et regroupera le WiFi et la 5G privée dans un plan d’abonnement mensuel qui ne nécessite aucune dépense en capital de la part des clients. De plus, les services 5G seront liés à Aruba Central, la solution de gestion basée sur le cloud du fournisseur, afin que les clients puissent administrer le WiFi et les réseaux 5G privés via un seul écran. D’autres intégrations avec les produits de mise en réseau d’Aruba arriveront « dans un avenir proche », a déclaré le fournisseur.
Une acquisition bien perçue par IDC
Les analystes voient cette acquisition comme un investissement dans l’avenir pour HPE. « L’acquisition d’Athonet aide HPE à approfondir son offre logicielle cloud native de 5G coeur de réseau, en particulier en mettant l’accent sur la fourniture de la 5G privée aux entreprises clientes », a déclaré Patrick Filkins, responsable de la recherche au sein de l’activité IoT et infrastructure de réseau de télécommunications chez IDC. « L’acquisition est motivée par la volonté de HPE de tirer parti de son activité de télécommunications en conjonction avec sa ligne commerciale d’Aruba, pour apporter une offre intégrée aux clients qui déploieront à la fois des réseaux 5G privés et des réseaux WiFi en tandem. Bien que l’acquisition augmente immédiatement le cœur 5G de HPE lui-même, à terme, ils tireront également parti d’Athonet de manière plus unifiée avec sa ligne d’activité Aruba ».
Selon l’analyste, HPE/Aruba publiera au fil du temps des solutions qui aideront les entreprises à gérer les deux technologies de manière transparente. « Les entreprises ne sont pas intéressées par le déploiement des réseaux 5G et WiFi en silo, elles veulent une solution combinée qui peut aider à résoudre les problèmes d’intégration et de gestion à partir d’un seul point. Cela signifie que vous verrez les équipes de télécommunications de HPE et d’Aruba travailler ensemble plus étroitement au fil du temps », poursuit Patrick Filkins. « Les entreprises qui voient autrement la valeur de la 5G, mais qui y rechignent, le font pour quelques raisons clés. Premièrement, les terminaux et chipsets 5G avancés (robots, équipement minier, soins de santé, etc.) qui utiliseraient une latence ultra-faible, un réseau sensible au temps, etc.…, ou toutes les nouvelles choses qu’apportent les réseaux 5G, sont toujours dans les tuyaux pour les années à venir. Deuxièmement, les entreprises exigent que la 5G privée s’intègre aux systèmes informatiques existants. L’acquisition d’Athonet soutiendra cet effort plus global visant à intégrer la 5G et le WiFi pour les entreprises clientes et à les rendre facilement consommables à partir du cloud ».