Le Secure Web Gateway est dépassé

Le Secure Web Gateway (SWG) de première génération est dépassé (Bluecoat / SYMC). La deuxième génération, le cloud based Secure Web Gateway est dépassé (Z-Scaler).

Mais Pourquoi?

Depuis 10 ans la part de Traffic dans une entreprise liée au Web diminue pour atteindre aujourd’hui moins de 15%. C’est donc 85% de « blind spot » alors même que les principales menaces viennent du cloud désormais (SaaS / IaaS / PaaS) et que ce trafic n’est pas compris par le SWG gen 1 & 2.

Le dernier cloud report 2019 de Netskope met en évidence:

• L'usage de 1295 services de shadow IT en moyenne, en augmentation par rapport à l'année dernière,
• La plupart des ces services cloud sont sujets à des vulnérabilités ou présentent des défauts de conformité.

Voici quelques exemples de ce que vous ne pouvez pas contrôler avec du SWG de génération 1 ou 2. Ces exemples ont été très largement illustrés ces derniers mois dans la presse:

1. Introduction de malware depuis des instances de cloud storage
2. Fuite de données depuis du cloud storage corporate vers du cloud storage personnel (le cas Tesla),
3. Absence de contrôle sur le trafic des nomades avec le split tunneling,
4. Page de Phishing hébergées dans du cloud public et donc white listées et présentant un certificat valide et une fausse « sécurité » aux utilisateurs,
5. Serveurs de contrôle hébergés dans le cloud public,
6. Utilisation du cloud public pour stocker des payload,
7. Scripts malicieux depuis des pages web infectées pointant vers du cloud public,
8. Clés SSH volées amenant à la compromission des VPC,
9. Serveurs RDP ou SSH accessibles publiquement,
10. Crypto Jacking avec contrôle de l’usage du CPU.

Que faut il faire?

Il faut travailler sur 2 axes:

1. le Next Gen Secure Web Gateway, qui unit les capacités nécessaires pour la protection du cloud, CASB (Cloud Access Security Broker), SWG (Secure Web Gateway), CSPM (Cloud Security Posture Management) le tout bien évidemment dans une seule et même plateforme.
2. SOC 2.0 - je développerai cette partie la dans un autre article.

Le marché prend cette orientation là. Les analystes en sont convaincus, et les entreprises commencent à le comprendre. Comme elle commencent à comprendre que les investissements consentis dans des solutions SIEM pour centraliser des logs ne servait à rien hormis pour faire de la forensic (si tant est que cela continue de collecter!).

Les avantages du "Next Gen" Secure Gateway sont multiples:

1. Permet de réduire la surface d'attaque sur les cloud public par exemple, en mettant en place des contrôles préventifs et de l'évaluation continue de la sécurité de ces environnements.
2. Permet de "gouverner" les usages du cloud sans bloquer le business. Il semble impensable aujourd'hui d'appliquer des politiques de blocages à l'aire de la génération Z, du BYOD, de l'ATAWAD, ...
3. Appliquer des politiques de DLP pragmatiques pas seulement à des applications de cloud storage, mais aussi à toute application qui permettrait d'exfiltrer de la donnée (souvent involontairement) - exemple des développeurs qui postent leur code sur des forums de développement.
4. Déployer de la threat protection sur tout le traffic (Statique, Heuristique, ML, IA, SandBoxing, ...)
5. Décrypter la plupart du traffic et ne pas être aveugle sur du traffic SSL de certaines applications non sanctionnées, ou d'entreprise car les anciennes génération de SWG arrivent aux limites du déchiffrement at scale (je ne parle donc pas du future proofing!)

En conclusion, le SWG 1 et 2 sont morts, le CASB 1 est mort, vive le nextgen Secure Web Gateway.

Guillaume Garbey, CISSP

ggarbey@netskope.com