Qu’est-ce que l’inspection approfondie des paquets?

L’inspection approfondie des paquets (IAP) désigne la méthode consistant à examiner le contenu complet des paquets de données lorsqu’ils traversent un point de contrôle du réseau surveillé. Alors que les formes classiques d’inspection des paquets avec état n’évaluent que les informations d’en-tête des paquets, telles que l’adresse IP source, l’adresse IP de destination et le numéro de port, l’inspection approfondie des paquets examine une gamme plus complète de données et de métadonnées associées aux paquets individuels. L’inspection approfondie des paquets n’examinera pas seulement les informations contenues dans l’en-tête du paquet, mais aussi le contenu contenu de la charge utile du paquet.

La richesse des données évaluées par l’inspection approfondie des paquets fournit un mécanisme plus robuste pour appliquer le filtrage des paquets du réseau, car l’IAP peut être utilisée pour identifier et bloquer plus précisément une gamme de menaces complexes qui se cachent dans les flux de données du réseau, notamment :

• Malware
• Tentatives d’exfiltration de données
• Violations de la politique de contenu
• Communications criminelles de commande et de contrôle

Les capacités d’inspection approfondie des paquets ont évolué pour surmonter les limites des pare-feu traditionnels qui reposent sur l’inspection dynamique des paquets. Pour comprendre l’avancée offerte par l’inspection approfondie des paquets, pensez-y en termes de sécurité aéroportuaire.

Le filtrage stateful des paquets serait comme valider la sécurité des bagages en vérifiant les étiquettes des bagages pour s’assurer que les aéroports d’origine et de destination correspondent aux numéros de vol enregistrés. En revanche, le filtrage à l’aide de l’inspection approfondie des paquets reviendrait plutôt à examiner les sacs à travers une radiographie pour s’assurer qu’il n’y a rien de dangereux à l’intérieur avant de les acheminer vers les vols appropriés.

Cas d’utilisation de l’inspection approfondie des paquets

L’analyse des flux de trafic par l’inspection approfondie des paquets ouvre une gamme de cas d’utilisation nouveaux et améliorés en matière de sécurité.

Blocage des logiciels malveillants

Lorsqu’elle est associée à des algorithmes de détection des menaces, l’inspection approfondie des paquets peut être utilisée pour bloquer les logiciels malveillants avant qu’ils ne compromettent les points d’extrémité et autres actifs réseau. Cela signifie qu’elle peut aider à filtrer l’activité des ransomwares, des virus, des logiciels espions et des vers. Plus largement, elle fournit également une visibilité sur le réseau qui peut être analysée par le biais d’une heuristique pour identifier les modèles de trafic anormaux et alerter les équipes de sécurité sur les comportements malveillants indiquant des compromissions existantes.

Arrêter les fuites de données

L’inspection approfondie des paquets peut être utilisée non seulement pour le trafic entrant, mais aussi pour l’activité réseau sortante. Cela signifie que les organisations peuvent utiliser cette analyse pour définir des filtres afin de stopper les tentatives d’exfiltration de données par des attaquants externes ou les fuites de données potentielles causées par des initiés à la fois malveillants et négligents.

Mise en œuvre de la politique de contenu

La visibilité accrue des applications offerte par l’inspection approfondie des paquets permet aux organisations de bloquer ou de limiter l’accès aux applications risquées ou non autorisées, telles que les téléchargeurs peer-to-peer. De même, l’analyse plus approfondie de la DPI ouvre la voie aux organisations pour bloquer les modèles d’utilisation violant les politiques ou empêcher l’accès non autorisé aux données dans les applications approuvées par l’entreprise

Avantages et défis de l’IAP

La visibilité supplémentaire fournie par l’analyse par sondage de l’IAP aide les équipes informatiques à appliquer des politiques de cybersécurité plus complètes et détaillées. C’est pourquoi de nombreux fournisseurs de pare-feu se sont empressés de l’ajouter à leurs listes de fonctionnalités au fil des ans.

Cependant, de nombreuses organisations ont constaté que l’activation de l’IAP dans les appliances de pare-feu introduit souvent des goulots d’étranglement réseau inacceptables et une dégradation des performances. Tout d’abord, ces appliances sur site sont liées aux réseaux d’entreprise et obligent les organisations à faire remonter le trafic des utilisateurs distants à travers cette infrastructure pour que les paquets passent par les points de contrôle de l’inspection DPI. Cela introduit une latence énorme pour ce nombre croissant d’utilisateurs et est de plus en plus irréalisable, car de nombreuses entreprises ont été contraintes de prendre en charge des effectifs entièrement distribués. Qui plus est, ces problèmes de performance sont susceptibles d’inciter de nombreux utilisateurs et services à ne pas procéder à une inspection. Lorsque ces utilisateurs se connectent aux ressources en ligne et dans le cloud directement sans connexion VPN, ils finissent par contourner complètement les protections du périmètre du réseau.

Et puis il y a le défi du trafic crypté. Bien que certains pare-feu prétendent effectuer une inspection approfondie des paquets sur le trafic HTTPS, le processus de décryptage des données et leur inspection en ligne avec les flux de trafic est une activité gourmande en processeur qui submerge de nombreux dispositifs de sécurité matériels. En réponse, les administrateurs choisissent souvent de désactiver cette capacité au sein de leurs pare-feu.

Cela laisse un énorme angle mort de visibilité du réseau alors que la prévalence de TLS/SSL à travers le web augmente. Les estimations actuelles de l’industrie montrent que pas moins de 95 % de l’activité web se déroule aujourd’hui par des canaux cryptés. Les attaquants reconnaissent les défis auxquels leurs victimes potentielles sont confrontées lorsqu’il s’agit d’étendre l’examen du DPI sur ce trafic, ce qui explique pourquoi environ deux tiers des logiciels malveillants se cachent désormais sous le couvert du HTTPS.

En conséquence, les organisations qui cherchent à profiter des avantages du DPI ont tendance à chercher des moyens techniques supplémentaires pour activer la fonctionnalité.

Comment les passerelles web sécurisées offrent la fonctionnalité DPI

Reconnaissant que les pare-feu servent toujours un objectif principal précieux au périmètre du réseau, de nombreuses organisations se tournent vers les passerelles web sécurisées basées sur le cloud pour les aider à retirer la charge de performance de l’inspection approfondie des paquets de ces dispositifs. Ces filtres web protègent le trafic utilisateur sortant, idéalement en utilisant une fonctionnalité DPI qui peut examiner le trafic HTTP et HTTPS généré par les utilisateurs, quel que soit leur emplacement. En déchargeant le trafic utilisateur crypté et distant par le biais d’une passerelle web sécurisée basée dans le cloud, les organisations peuvent faire évoluer l’analyse approfondie du trafic par l’IAP sans mettre sous pression les dispositifs matériels existants.

Dans le même ordre d’idées, cette architecture simplifie également l’inspection approfondie des paquets en dehors des limites du réseau d’entreprise. Cela offre aux organisations un chemin plus cohérent pour l’application des politiques lorsqu’elles gèrent des politiques de sécurité sur plusieurs sites et une base étendue d’utilisateurs distants qui se connectent directement à l’Internet et aux ressources du cloud.