CoreLight : Une meilleure visibilité de votre Virtual Private Network (VPN) !

CoreLight : Une meilleure visibilité de votre Virtual Private Network (VPN) !

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

Le nouveau pack VPN Insights fait le point sûr la visibilité d’angle mort de plus en plus important.
Les tunnels VPN, largement utilisés, sont dans un certain sens similaires à des “conteneurs d’expédition ou de fret”, surtout depuis que la pandémie a obligé une grande partie des effectifs a adopter le travail à distance et utiliser le réseau à des fins légitimes (comme à des fins malveillantes).
L’établissement d’un tunnel entre les bureaux de l’entreprise, les travailleurs distants ou les partenaires pour transférer des données est une utilisation légitime et courante des VPN.

Mais les cybercriminels peuvent utiliser les tunnels VPN pour établir une porte dérobée (backdoor) dans votre réseau ou même permettre à des initiés malveillants d’exfiltrer des données par un canal non protégé.
Étant donné leur omniprésence et leur nature cryptée, les VPN peuvent constituer un défi pour les défenseurs du réseau.

Comme pour la plupart des contrôles de réseau, tout commence par la visibilité.

Comment obtenez-vous actuellement une visibilité sur le trafic VPN sur votre réseau ?
Peut-être que les journaux (ou logs) de vos propres services VPN (concentrateurs, NGFW, contrôleurs sans fil, fournisseurs d’authentification) sont excellents, mais ils ne peuvent vous renseigner que sur l’utilisation légitime.
Peut-être êtes-vous en mesure d’obtenir certaines données de vos plateformes EDR, en voyant ce qui est installé ou utilisé sur les terminaux gérés, mais il vous reste encore un écart considérable.
Qu’en est-il des appareils non gérés, de l’IdO, de l’informatique fantôme et du BYOD ?

Toute personne présente sur votre réseau peut être en mesure de se connecter à un service VPN externe et de créer un tunnel vers et depuis votre réseau, peut-être même à votre insu.
Les VPN utilisent de nombreux protocoles uniques (et le plus souvent cryptés) qui fonctionnent de manière très différente et peuvent être assez complexes à analyser. Même si vous êtes en mesure d’analyser certains de ces protocoles, il peut être difficile d’attribuer des fournisseurs spécifiques à des types génériques de trafic sur le réseau.

Corelight vient de livrer sa dernière version logicielle (v24) qui comprend un tout nouvel ajout à sa collection de trafic crypté : VPN Insights.

Avec une suite de nouveaux protocoles d’analyse, le nouveau paquet VPN Insights de Corelight offre une visibilité inégalée du trafic VPN sur votre réseau, avec la capacité d’analyser et d’identifier plus de 350 fournisseurs VPN uniques et d’écrire des informations sur ces connexions VPN dans un nouveau journal.

Le journal permet aux clients d’identifier toutes les connexions VPN vers et depuis les réseaux d’entreprise, d’indiquer le fournisseur VPN utilisé et de fournir des métadonnées détaillées sur la connexion, notamment la durée, le volume et les informations de géolocalisation.

Le journal comprend également un ensemble d’inférences permettant d’identifier des modèles de comportement (le VPN est-il susceptible d’offrir un accès à distance, est-il utilisé sur un port qui pourrait échapper au filtrage, s’agit-il d’un VPN commercial et utilise-t-il un port non standard).

La force de l’approche OpenNDR de Corelight réside en partie dans le fait que son moteur open-source Zeek peut être rapidement adapté pour découvrir et analyser de nouveaux protocoles réseau.

La dernière approche qui facilite cela est le cadre Spicy, qui permet le développement rapide de nouveaux analyseurs qui peuvent être exécutés directement dans Zeek. Dans le cadre de la recherche sur ce contenu VPN, Corelight Labs a développé et diffusé une série d’analyseurs de protocoles VPN à la communauté open-source.

Ces nouveaux analyseurs sont la base du paquet VPN Insights qui distille les informations de connexion VPN dans un journal succinct qui inclut les noms des fournisseurs et les métadonnées.

Alors que les analyseurs sont open-source et disponibles pour tout utilisateur de Zeek, le package VPN Insights est réservé uniquement aux clients Corelight.

Vous pouvez désormais passer d’une visibilité limitée ou partielle du trafic VPN à une comptabilité complète des VPN utilisés sur votre réseau.

Ces données sont très utiles pour répondre à des incidents spécifiques, mais elles sont également précieuses pour la chasse aux menaces et la conformité.
Vous pouvez ainsi répondre à plusieurs questions telles que :

– Combien de points d’extrémité utilisent des fournisseurs/protocoles VPN non professionnels ?
– Quels sont les endpoints qui se connectent à des pays spécifiques où nous n’avons pas d’intérêts commerciaux ?
– À quels moments de la journée ou de la semaine les tunnels VPN se connectent-ils à notre réseau ?

Un client Corelight a déclaré que le nouveau journal VPN est son “nouveau journal préféré”, et nous comprenons pourquoi.
Le paquet VPN Insights aide les défenseurs du réseau à mieux comprendre ce qui se passe à l’intérieur de tous ces conteneurs d’expédition (ou devrais-je dire connexions VPN) qui sillonnent vos “autoroutes de l’information”.

Mais ce n’est pas tout ce qui se trouve dans cette dernière version du logiciel. Corelight v24 comprend également la :

– Détection intégrée de la vulnérabilité de log4shell
– Fonctionnalité de sauvegarde et de restauration pour Corelight Fleet Manager
– Options supplémentaires pour le “shunting” sur le plus grand capteur matériel AP 5000.

Cette nouvelle version contient également des corrections de bugs et d’autres améliorations.
Veuillez visiter le portail de support Corelight pour plus d’informations, y compris les notes de version et la documentation utilisateur.

Source : CoreLight

Pour plus d’informations concernant les solutions