Un nouvel outil de monitoring de Cisco, ETA, permet de détecter les trafics malicieux à partir des métadonnées du réseau. Le produit est maintenant en disponibilité générale.
Initialement lancé en juin dernier, ETA était jusqu’alors en Beta privée. Cisco le rend maintenant disponible pour l’ensemble de ses équipements pour les centres de données. Une avancée importante alors que 55 % du trafic Web est désormais chiffré. Ce type de trafic devrait culminer à 80 % en 2019. 41 % des hackers utilisent ce moyen pour éviter d’être détectés.
Une vision totale du réseau
ETA se déploie pour partie sur le site du client pour superviser et collecter les données du réseau en utilisant une série de capteurs pour regarder l’ensemble du trafic. La solution combine des moteurs d’analyses locaux et une plate-forme dans le Cloud qui analyse les métadonnées anonymisées pour chercher et éventuellement bloquer le trafic malicieux même si celui-ci est chiffré. L’outil utilise de plus des améliorations logicielles présentes dans IBN (Intent Based Networking).
S’appuyant sur une version modifiée de Netflow, ETA recherche les caractéristiques qui indiquent que le trafic peut être dangereux. Il inspecte le paquet initial, qui est déchiffré. Il collecte aussi la taille du paquet, son aspect, la séquence, le temps mis sur le réseau et regarde des caractéristiques spécifiques comme l’auto-signature d’un certificat ou si des identifiants de command & control sont présents.
Dès qu’un trafic malicieux est détecté, il est marqué et passe sous les fourches caudines d’une analyse plus poussée par DPI (Deep Packet Inspection) et peut être bloqué par un équipement déjà présent dans le centre de données comme un firewall.
L’outil est auto-apprenant pour trouver de nouvelles vulnérabilités et s’adapter aux changements.