UTM Services d’abonnement

Introduction

Access Portal

Pourquoi ?

Il permet aux utilisateurs, depuis l’extérieur de l’entreprise et avec un simple navigateur (sans plugin particulier), d’accéder aux ressources situées derrière l’UTM. Et dans ce cas, il n’est pas nécessaire de monter un VPN.

Informations

Évolution

Jusqu’en 2019, Access Portal supportait la publication des ressources suivantes :

Depuis 2020, Access Portal supporte dorénavant les ressources de type applications web internes en HTML, HTML5, JavaScript ou même Exchange (OWA, etc.). Ces ressources sont rendues disponibles à distance par le biais d’un proxy inversé proposé automatiquement lors de la création de l’élément dans le portail. Par contre, dans ce cas, l’UTM et les ressources internes doivent avoir une URL externe car avec seulement une IP publique cela ne fonctionne pas. Les applications doivent partager le même FQDN, exemple :

URL Access Portal

Par défaut, le portail est accessible seulement depuis l’interface External :

Port et stratégie en commun

Access Portal partage des éléments avec les modules ci-dessous, il ne faut donc pas modifier les réglages sans prendre en compte les possibles répercussions :

Application Control (AC)

Pourquoi ?

Application Control (AC) permet de contrôler (détecter, abandonner, autoriser, auditer et monitorer) automatiquement le flux des applications qui traversent l’UTM. Derrière le nom Application Control de WatchGuard se trouve la technologie de Trend Micro (désigné par Gartner en 2021 comme l’un des leaders dans la catégorie End Point Protection Platforms ou EPP).

Les applications sont identifiées avec une analyse du comportement et par une base de signatures. La base de signatures est mise à jour fréquemment par Trend Micro (+1800) et d’après WatchGuard, elle permet de bloquer plus de 1000 applications.

Pour information, le service IPS de WatchGuard profite aussi de la technologie Trend Micro. Les mises à jour des bases de signatures pour Application Control et IPS sont donc livrées au même moment par le même canal.

Il est possible de coupler AC avec le service Gestion du trafic (TM), cela afin de gérer la bande passante par flux applicatifs. Ci-dessous vous trouverez la liste des catégories filtrables :

Informations

Par exemple, pour abandonner les flux Dropbox qui traversent l’UTM, il y a plusieurs étapes :

APT Blocker

Pourquoi ?

Afin de contrer les menaces Advanced Persistent Threat (APT), WatchGuard propose la solution APT Blocker. Ces menaces exploitent les failles Zero Day qui se trouvent dans les ressources réseau et prennent souvent la forme définitive de rootkits ou backdoors. Ces malwares peuvent patienter pendant de longs mois avant de s’activer. La plupart des outils de protection se basent sur les signatures pour détecter les menaces, mais c’est une approche trop basique et limitée pour faire face à la menace que représentent les APT. C’est pourquoi les solutions basées sur la méthode de la sandbox (bac à sable) apparaissent.

Voici une explication simplifiée du mécanisme de protection utilisé par APT Blocker : une première analyse basée sur des signatures est réalisée, puis une analyse approfondie est effectuée dans un environnement isolé appelé « bac à sable » sur les serveurs cloud de WatchGuard. Dans l’environnement isolé, le fichier est exécuté pour observer son comportement. S’il s’avère être une menace, il est bloqué, abandonné ou placé en quarantaine.

Derrière le nom APT Blocker se trouve en réalité la technologie de l’éditeur Lastline, créée...

Détection de botnet

Pourquoi ?

Les botnets sont des réseaux d’ordinateurs infectés et contrôlés par des hackers. Les botnets sont souvent contrôlés par les protocoles HTTP et IRC afin de réaliser les attaques suivantes :

WatchGuard propose plusieurs solutions pour contrer ces menaces :

Dans cette fenêtre Détection de botnet, vous pouvez et devez activer les options suivantes :

Tor

Pour information, Tor est un réseau informatique décentralisé conçu pour protéger la confidentialité et l’anonymat en ligne. Il fonctionne en faisant passer le trafic internet à travers un réseau de relais géré par des bénévoles dans le monde entier. Lorsque vous utilisez Tor, votre trafic est acheminé à travers plusieurs nœuds de relais, ce qui rend difficile la traçabilité...

Data Loss Prevention

Pourquoi ?

DLP (Data Loss Prevention) est une série de techniques visant à prévenir la perte, la fuite ou la divulgation non autorisée de données sensibles. Ces fuites peuvent se produire de différentes manières, telles que l’envoi de données par e-mail non sécurisé, l’utilisation de dispositifs de stockage amovibles non autorisés, le partage de fichiers via des services de cloud non approuvés, etc. DLP joue un rôle essentiel dans la conformité réglementaire, en aidant les organisations à respecter les lois et les réglementations relatives à la protection des données, telles que le RGPD.

Pour mettre en place une solution de DLP efficace, il est essentiel de comprendre les données sensibles de l’organisation, de définir des politiques de sécurité claires et de mettre en œuvre des mécanismes de surveillance et de contrôle appropriés.

Chez WatchGuard, c’est la technologie DLP de Sophos, reconnue par Gartnet depuis 2010, qui fait le travail. Le service permet de contrôler les informations qui transitent sur les principaux flux utilisés avec l’extérieur de l’entreprise (HTTP, HTTPS, SMTP et FTP). La solution dispose de plus de 200 règles disponibles pour 18 pays. Exemple de normes de conformité très utilisées et parfaitement couvertes :

Information

Voici...

DNSWatch

Pourquoi ?

DNSWatch protège les utilisateurs de votre réseau contre des menaces telles que le phishing et les sites internet malveillants. Pour cela, il peut bloquer les requêtes sur des sites malveillants pour n’importe quelle interface utilisée par l’UTM.

Généralement, l’UTM permet de filtrer les sites internet consultables par les utilisateurs internes de l’entreprise. Pour cela, DNSWatch filtre le protocole DNS (port 53) et applique des listes et des catégories. Si le site web est classé dans une catégorie comme autorisé, alors aucun traitement particulier sur le flux n’est appliqué.

Cependant, si le site web est classé comme interdit ou dangereux, alors DNSWatch va bloquer le flux et proposer un message d’avertissement ou une sensibilisation contre les risques en cybersécurité (spam, hameçonnage, harponnage, usurpation d’adresses e-mail professionnelles, etc.).

Derrière le mécanisme d’apparence simple, il y a les serveurs « Blackhole » de DNSWatch qui collectent les données clientes des utilisateurs faisant les demandes à l’UTM. La collecte permet d’analyser précisément s’il y a des menaces dans les demandes.

Il est possible de configurer des listes blanches (domain allowlist) et des listes noires (domain blocklist) ainsi que des listes de domaines filtrés (domain filterlist) afin de contrôler les accès internet des utilisateurs.

L’activation du mode SafeSearch pour moteur de recherche est possible. Ce mode filtre les images pour adultes dans les moteurs de recherche comme Google, YouTube, Bing, DuckDuckGo.

DNSWatch est la version principale du produit mais il existe d’autres variantes afin de s’adapter à de multiples scénarios. Dans tous les cas, les réglages se font sur le portail cloud DNSWatch :

Gateway AV (GAV)

Pourquoi ?

Gateway Anti-Virus (GAV) est une passerelle antivirus, également appelée antivirus gateway. C’est un service de l’UTM qui examine les données entrantes et sortantes du réseau à la recherche de logiciels malveillants. Son rôle principal est de détecter, bloquer et éliminer les menaces telles que les virus, les vers, les chevaux de Troie et autres types de logiciels malveillants qui pourraient infecter les systèmes informatiques. Aujourd’hui, on parle essentiellement de problème malveillant ou de malware, le terme de virus est un peu tombé en désuétude.

Il fonctionne en analysant le trafic réseau en temps réel et en utilisant des signatures de logiciels malveillants, des analyses heuristiques et d’autres techniques pour identifier les menaces. Lorsqu’une menace est détectée, la passerelle antivirus prend des mesures appropriées, telles que le blocage du trafic suspect, la mise en quarantaine des fichiers infectés ou la suppression des logiciels malveillants.

Information

Cependant, il est important de noter que les passerelles antivirus ne sont pas une solution de sécurité complète en soi et doivent être utilisées en conjonction avec d’autres mesures de sécurité pour être pertinente :

Geolocation

Pourquoi ?

La fonction de géolocalisation de l’UTM WatchGuard permet de surveiller l’activité réseau en fonction de la localisation géographique des adresses IP. Cette fonctionnalité permet de visualiser sur une carte la localisation des adresses IP qui tentent de se connecter au réseau, ou de déterminer la localisation géographique des adresses IP de destination.

La fonction de géolocalisation peut aider à identifier les connexions suspectes ou non autorisées, ou encore à bloquer le trafic provenant de régions géographiques connues pour être sources d’attaques.

Dans une logique de défense, il est important de limiter l’étendue des attaques possibles. Internet étant un réseau mondial, il est judicieux de limiter la portée des attaques en limitant les connexions d’adresses IP provenant de pays avec qui l’on ne travaille pas.

Information

Voici quelques informations à connaître avant de vous lancer avec Geolocation :

Exemple

Intelligent AV (IAV)

Pourquoi ?

WatchGuard utilise depuis longtemps l’intelligence artificielle (IA) dans ses produits et en particulier la branche du machine learning (ML). Il le fait avec IntelligentAV (IAV), qui est une technologie de Cylance. Celle-ci apporte une double protection contre les virus et autres menaces (connues et inconnues). IntelligentAV entre en action après que le premier service antivirus de l’UTM Gateway AV (GAV) n’a rien trouvé. Si GAV ne trouve rien, alors (et seulement dans ce cas) IntelligentAV (IAV) entre en action.

Son fonctionnement diffère des antivirus classiques car il ne se sert pas des signatures pour rechercher les menaces mais de l’intelligence artificielle et du machine learning. L’IA travaille sur des signaux collectés à partir de millions de sources à travers le monde. Elle cherche à identifier et répondre (plus ou moins) automatiquement à des patterns (schémas) menaçants récoltés dans le big data. L’IA apporte une aide précieuse impossible à réaliser par l’humain dans les mêmes délais et proportions.

Information

Voici les choses à savoir ou activer avant de commencer avec IntelligentAV (IAV) :

Intrusion Prevention System (IPS)

Pourquoi ?

Les IDS/IPS (Network Intrusion Detection System / Intrusion Protection/Prevention System) sont placés dans des endroits stratégiques, leur rôle est de détecter et bloquer des intrusions, des malwares, des anomalies, des injections SQL, du cross-site scripting, etc. cela en analysant le flux réseau.

Les IDS/IPS utilisent des règles (souvent des bases de signatures) qui, en fonction des patterns trouvés, déclenchent des actions comme les alertes ou des drops de paquets.

Il est possible de remonter les informations des IDS/IPS à des SIEM (Security Information Event Management). Le SIEM regroupe deux concepts de sécurité : le SEM (gestion des événements de sécurité) et le SIM (gestion des informations de sécurité). Le SIM collecte et gère les journaux de sécurité et le SEM analyse et détecte les anomalies.

Les SIEM permettent de gérer et corréler les journaux à partir de multiples sources (une des plus importantes sources est le flux réseau collecté par les IDS/IPS). Les SIEM font de la corrélation afin de relier plusieurs événements à une même cause. Ils permettent de collecter, de faire de l’agrégation, de la normalisation, de la corrélation, des rapports, de l’archivage, et pour terminer...

Reputation Enabled Defense (RED)

Pourquoi ?

Reputation Enabled Defense (RED) est un service transversal qui permet de renforcer la sécurité des stratégies de types proxy. Lorsqu’un utilisateur navigue sur Internet, RED note les sites grâce aux serveurs de réputation WatchGuard en cloud. Le score est calculé à partir de plusieurs sources dans le monde comme les différents éditeurs AV. La finalité est d’optimiser le temps de traitement réalisé par les services en abonnement de l’UTM ci-dessous :

Information

Le système RED utilise un service en cloud pour noter les URL de 0 à 100 :

Concrètement, si le site a mauvaise réputation (BAD), il est bloqué ; et s’il a une bonne réputation (GOOD), celui-ci n’est pas traité par les services de l’UTM. S’il a une réputation inconnue (NEUTRAL), tous les outils entrent en action avec leurs fonctionnements respectifs.

Voici les informations à connaître avant de commencer avec Reputation...

spamBlocker

Pourquoi ?

Le spam (ou courrier indésirable) correspond aux e-mails qui sont souvent envoyés en masse (à des fins de marketing). Ceux-ci remplissent constamment nos boîtes mail (gaspillage de stockage et de bande passante) et nous perdons un temps important à les supprimer (gaspillage de productivité).

D’après les différents cabinets d’études et éditeurs de protections qui communiquent sur Internet, on estime entre 45 % à 85 % le pourcentage de spam dans un flux de 300 milliards de mails/jour en 2021.

Cependant, si l’on veut être précis, on trouve plusieurs types de menaces différentes dans le spam :

Endpoint Enforcement

Pourquoi ?

Dans le cas où vous n’avez pas la solution WatchGuard AuthPoint pour profiter du MFA (Multi-Factor Authentication), vous avez quand même une couche de sécurité supplémentaire ajoutée aux classiques identifiant + mot de passe nécessaires pour un accès VPN.

Cette option permet de renforcer la sécurité des clients Mobile VPN en rendant obligatoire la présence d’un agent sur le poste client qui veut utiliser un Mobile VPN proposé dans les UTM WatchGuard (voir la section Mobile VPN du chapitre UTM Réseau privé).

Informations

Endpoint Enforcement subit actuellement de nombreux changements de nom... donc ne soyez pas surpris de voir appeler cette option parfois « VPN Enforcement » ou encore prochainement « Network access enforcement ». Endpoint Enforcement fonctionne avec les trois agents suivants :

Concrètement, pour profiter de Endpoint Enforcement, vous...

WebBlocker

Pourquoi ?

Pour le filtrage du contenu web, WatchGuard propose l’utilisation du service WebBlocker. Les avantages de filtrer le flux web sont nombreux, notamment une amélioration de la productivité, une optimisation de la bande passante et une meilleure protection contre les menaces en ligne. Dans les faits, cela se traduit de la manière suivante : les utilisateurs peuvent ne plus être autorisés à surfer sur les réseaux sociaux, les sites de streaming, le shopping…

Derrière le nom WebBlocker se trouve la technologie de Forcepoint, un poids lourd de la cybersécurité. La société NetPartners a été créée en 1994 à San Diego aux États-Unis. En 1999, celle-ci change de nom pour devenir Websense. En avril 2015, Raytheon, une entreprise spécialisée dans la vente de matériel de défense militaire (sixième rang mondial), acquiert Websense pour 1,9 milliard de dollars. Puis lorsque Raytheon achète Stonesoft à Intel en 2016, Websense devient Forcepoint. Et pour finir, en 2021, Forcepoint est racheté par Francisco Partners. La société a été rachetée à plusieurs reprises et a fusionné avec d’autres entités, ce qui a abouti à un portefeuille de technologies impressionnant : Websense (Leader with Content Security + DLP), Raytheon (Financial Resources Deep Understanding of Threat Detection), Stonesoft (Advanced Evasion Prevention ou AEP), Skyfence (Cloud Access Security Broker ou CASB), RedOwl (User Behavior Analytics pour UBA), etc. Forcepoint est régulièrement reconnu par Gartner comme un leader dans plusieurs catégories de cybersécurité. Il est utilisé par des gouvernements, l’armée américaine, ainsi que des entreprises telles que Toyota, TATA, Ricoh, IBM, Microsoft, et bien d’autres (une liste complète est disponible sur le site de l’éditeur). Avec plus de 21 000 clients répartis dans 155 pays, Forcepoint compte plus de 3 500 employés (sources : Wikipédia, Le Monde Informatique...