Le pare-feu de nouvelle génération a changé la face du monde.
Mais il n’est peut-être déjà plus d’actualité.
Détecter et stopper les menaces avancées d’aujourd’hui nécessite bien plus que des pare-feux dynamiques traditionnels ou de nouvelle génération.
Les menaces se dissimulent dans le trafic chiffré
L’explosion spectaculaire du trafic chiffré au cours des dernières années a permis aux hackers d’exploiter le protocole SSL pour infecter les utilisateurs, dissimuler l’exfiltration de données et cacher les communications C&C. Aujourd’hui, 54 % des menaces avancées se cachent derrière le trafic SSL. Ce n’est plus facultatif : vous devez effectuer une inspection SSL pour assurer la sécurité et protéger vos utilisateurs.
Source : Google Transparency Report 2016
Les pare-feu traditionnels ont du mal à inspecter le trafic crypté
Malheureusement, les pare-feux traditionnels n’ont pas été conçus pour déchiffrer votre trafic. L’inspection SSL est gourmande en ressources processeur et la plupart des appliances de pare-feu ne peuvent tout simplement pas la prendre en charge, les performances s’arrêtant lorsqu’elles essaient. Par conséquent, l’inspection du trafic SSL sur une appliance vous oblige souvent à mettre votre matériel à niveau.
Pour détecter les programmes malveillants chiffrés SSL sur l’ensemble de votre trafic, vous avez besoin d’une architecture basée sur un proxy dans le cloud.
Zscaler Cloud Firewall repose sur une architecture proxy hautement évolutive qui gère l’inspection SSL à grande échelle. Notre empreinte nous permet de traiter un nombre croissant de sessions et de bandes passantes SSL, sans mises à niveau coûteuses ni réduction de l’inspection. En conséquence, vous bénéficiez d’un déchiffrement SSL illimité sur tous les ports à un coût forfaitaire par utilisateur.
Les pare-feu traditionnels ont des angles morts
Les pare-feu traditionnels s’appuient sur IPS et AV pour se protéger contre les menaces basées sur les signatures, qui ne représentent qu’une petite fraction du paysage total des menaces. Cependant, près de 90 % des signatures ont été écrites pour HTTP et DNS2. Pour inspecter totalement le trafic HTTP et DNS, vous devez disposer d’une architecture basée sur un proxy ; la protection basée sur la signature ne suffit plus.
Source : 2 Analyse ThreatLabZ du jeu de règles utilisateur enregistré Snort gratuit, instantané 2990 : sortant, actif, vulnérabilités
Protéger vos protocoles les plus vulnérables
Zscaler Cloud Firewall utilise un moteur avancé d’inspection profonde des paquets et une architecture basée sur un proxy pour connecter au serveur mandataire tout ce qui semble être un trafic HTTP/HTTPS, DNS ou FTP, quel que soit le port. Ainsi, vous avez la possibilité de trouver davantage de menaces dans vos protocoles les plus vulnérables, que vos utilisateurs soient au siège, dans une filiale ou même hors de l’entreprise.
