La fusion de sociétés génère inévitablement des inconnues. Qui va absorber l’autre ? Pour quels résultats ? Le 5 juin dernier, ISS acquiert un jeune concurrent, NetworkICE, créé en juin 1998 par Robert Graham. NetworkICE est réputé pour ses logiciels de protection des postes de travail et pour son IDS (Intrusion detection system) réseau, qui gère décemment des attaques sur des liens Gigabit.Les premiers résultats des travaux de convergence entre les deux sociétés ne se sont pas fait attendre. Six mois à peine après la fusion, l’objectif avoué d’ISS est d’offrir un système consolidé de protection à trois niveaux : postes de travail, serveurs et réseaux. Premier fruit de cette union, le logiciel RealSecure Protection System for Desktops est un mélange d’ISS Desktop Scanner et de BlackICE Agent for Workstation, de NetworkICE, greffé sur une console centralisée. Quel est l’intérêt de mêler un outil d’évaluation des vulnérabilités avec un IDS ? “Cela permet de savoir si une attaque a été portée ou non jusqu’au bout et, donc, de réduire les faux positifs”, explique Axel Falck, responsable technique d’ISS pour l’Europe du Sud (France incluse).
Mise en commun
Côté serveur, la première “mise en commun” s’appelle RealSecure Protection System for Servers 6.0.1. Toutefois, il n’y a pas encore d’interaction à proprement parler. Ce sont deux technologies ?” celle de RealSecure Server Sensor et celle de BlackICE Agent for Servers ?”mises côte à côte.Pour ce qui est du réseau, la véritable fusion ne verra le jour qu’au 1er trimestre 2002, avec la version 7.0 de l’IDS réseau RealSecure. “Au niveau des couches basses, l’architecture s’appuie sur celle de NetworkICE, explique Robert Graham, nouvel architecte en chef chez ISS. Cela nous permet de tenir pleinement un lien Gigabit Ethernet pour des attaques classiques [des attaques de plus de 200 octets, NDLR]. Nous avons ici bénéficié de l’expérience d’ISS dans l’analyse au niveau HTTP et des scripts CGI.”“Ne nous appuyant pas uniquement sur des bases de signature, nous sommes capables de traiter correctement les attaques polymorphiques, à l’image d’ADMmutate, précise Axel Falck. En outre, dans le cas d’attaques de type “buffer overflow”, nous tenons compte de la longueur d’une chaîne de caractères et pas uniquement de son contenu.”En décembre 2001 sortira RealSecure SiteProtector, une console centrale d’administration en temps réel. La corrélation des événements pourra s’effectuer au niveau des sondes, ou en partie seulement. Une API permettra l’interfaçage avec les consoles d’administration spécialisées, tel Tivoli Security Risk Manager, ou avec les plates-formes traditionnelles SNMP, à l’instar de HP OpenView.“La sécurité doit devenir un élément à part entière d’une administration normale de réseaux “, explique Serge Kerbrat, directeur général d’ISS pour l’Europe du Sud.Pour garder sa position de leader mondial, ISS compte sur ses produits, mais aussi sur une équipe capable de “traiter” les intrusions, composée en partie d’une centaine d’ingénieurs de la X-Force.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.