Université Tunghai

Les entreprises contemporaines sont confrontées à des cybermenaces complexes, à l'heure où les pirates utilisent des méthodes toujours plus sophistiquées pour contourner les défenses de sécurité. Comment trouver un équilibre entre la nécessité d'une protection proactive contre de telles attaques et le besoin de flexibilité et de liberté dans une importante population universitaire internationale ?

C'est le défi auquel l'équipe du centre informatique de l'Université Tunghai était confrontée. L'université a adopté l'apprentissage digital et a conçu un campus intelligent qui offre aux étudiants et au personnel un accès haut débit sans fil gratuit à Internet à l'intérieur comme à l'extérieur du campus. Au début de chaque année universitaire, les étudiants arrivent et connectent leurs ordinateurs portables au réseau de l'université.

Cependant, comme la politique de l'université en matière d'informatique n'a pas imposé l'installation d'antivirus sur les terminaux des étudiants, de nombreux ordinateurs portables ont été infectés par des logiciels malveillants. Ces terminaux infectés ont entraîné une défaillance des réseaux sur le campus et en dehors de ce dernier, une consommation excessive de bande passante et un trafic malveillant de botnet. De plus, le logiciel malveillant s'est déplacé latéralement sur des ordinateurs gérés par l'université, qui a reçu des notifications du centre régional du réseau de Taichung indiquant que le réseau de l'Université Tunghai avait été attaqué et faisait l'objet de connexions anormales.

"Le centre informatique a dispensé une formation à la sécurité de l'information et a incité les étudiants et le personnel enseignant à ne pas cliquer sur des liens suspects dans les e-mails ou sur des pages Web », explique Chien-Hui Ou, directeur de la technologie réseau. « Mais les hackers ont continué à avoir recours à des tactiques de plus en plus détournées, ce qui fait que les utilisateurs pouvaient difficilement reconnaitre les cybermenaces de manière immédiate, ce qui a finalement conduit les utilisateurs à être victimes de ces attaques."

"Les logiciels antivirus traditionnels et les solutions de sécurité de l'information qui s'appuient sur l'analyse et l'identification des codes malveillants ne sont pas suffisamment rapides. Si un nouveau logiciel malveillant entre en scène et que les fournisseurs d'antivirus n'ont pas encore déterminé son code ni mis à jour ses signatures, le logiciel malveillant ne sera pas détecté », explique Kuang-Chin Chang du Groupe du réseau de l'Université Tunghai. De plus, en raison de la tendance à chiffrer le trafic Web, les hackers utilisent désormais ces canaux chiffrés pour lancer des attaques, ce qui rend les attaques Zero Day de plus en plus difficiles à arrêter."

Akamai stoppe efficacement les connexions suspectes

Sachant que l'université avait besoin d'améliorer sa stratégie de sécurité existante, l'équipe du centre informatique a commencé à étudier les produits utilisant le DNS comme point de contrôle de sécurité. Ils pensaient que cette approche permettrait à l'université de renforcer sa sécurité globale sans que cela n'ait d'impact sur la liberté académique.

Après un processus d'évaluation concurrentielle, l'université a arrêté son choix sur la solution Secure Internet Access Enterprise d'Akamai. Secure Internet Access Enterprise est un service basé sur le cloud qui protège de manière proactive un réseau et ses utilisateurs en analysant chaque requête DNS. Chaque requête est comparée aux informations en temps réel sur les menaces obtenues grâce à la visibilité inégalée du trafic Internet d'Akamai, avant de bloquer ou de diffuser le contenu Web demandé.

"ETP détecte et bloque les requêtes DNS vers des domaines susceptibles de fournir des contenus malveillants tels qu'un ransomware ou un logiciel malveillant de minage de monnaies, ou de dérober des informations utilisateur", explique M. Chang. "Même si l'appareil d'un étudiant est infecté par un logiciel malveillant lors d'une utilisation hors du campus, le logiciel malveillant ne pourra pas se connecter en externe au serveur de commande et contrôle (C2) des hackers lorsque l'ordinateur se reconnectera au réseau du campus."

Avant Secure Internet Access Enterprise, il était difficile d'atténuer un incident lié à la sécurité de l'information. Une fois qu'une connexion anormale a été signalée, le personnel de gestion du réseau doit souvent utiliser des adresses IP pour suivre l'ordinateur compromis, trouver des enregistrements de connexion à partir des fichiers journaux pour convaincre la partie concernée qu'un incident s'est produit, puis demander à la partie de coopérer avec les procédures de nettoyage antivirus.

"C'est ce qu'il s'était produit auparavant et il nous avait fallu près d'une semaine pour résoudre cet incident. Et il nous a fallu avoir recours à de nombreuses ressources de sécurité", indique M. Chang. « Cependant, après avoir déployé Secure Internet Access Enterprise, le nombre d'incidents de sécurité signalés a chuté, ce qui nous a permis de consacrer nos ressources à d'autres projets de sécurité. »

Il poursuit : "Secure Internet Access Enterprise est particulièrement rapide et facile à déployer et à configurer, ce qui le distingue des équipements physiques traditionnels, qui nécessitent d'abord une déconnexion du réseau, puis un test, avant qu'un système puisse être mis en service. Avec Secure Internet Access Enterprise, il vous suffit de diriger votre trafic DNS directement vers la plateforme Akamai et le processus prend quelques minutes seulement."

Le directeur Chien-Hui Ou indique : "Secure Internet Access Enterprise fournit automatiquement des rapports détaillés sur les incidents afin que l'équipe de sécurité puisse rapidement savoir quels logiciels malveillants ont infecté les ordinateurs des clients ou sur quels liens Web ils ont cliqué avant que les ordinateurs ne soient infectés par des logiciels malveillants de minage de monnaies. Les données s'intègrent à notre technologie SIEM. Ainsi, les rapports aident également l'équipe à comprendre toute activité anormale récente du réseau afin que nous puissions réagir de manière proactive."

Des économies importantes de main-d'œuvre et de coût

Chao-Tung Yang, directeur du centre informatique électronique de l'Université Tunghai, met l'accent sur les avantages stratégiques. "La sécurité de l'information est aujourd'hui importante et le sera de plus en plus à l'avenir, à mesure que les applications digitales se développeront. Tunghai a toujours privilégié la protection des applications informatiques et la sécurité de l'information, et le président de l'université soutient l'investissement dans la sécurité de l'information."

M. Yang poursuit : "Lorsque l'on prend du recul et que l'on observe l'orientation actuelle de la croissance informatique, il est clair que les services basés sur le cloud sont là pour durer. Les systèmes de défense précédents ont été déployés avec une combinaison de logiciels et de matériel, et leur entretien, ainsi que la mise à jour des correctifs, etc., exigeaient beaucoup de temps et de main-d'œuvre."

Les services basés sur le cloud d'Akamai sont différents, ils permettent une réduction totale de la main-d'œuvre de maintenance. M. Yang est optimiste quant à l'avenir des services de sécurité de l'information basés sur le cloud : "Non seulement ils réduiront la main-d'œuvre, mais ils diminueront également le besoin d'espace physique dans les salles d'informatiques et nous feront faire des économies sur l'air conditionné et l'électricité. Cela s'inscrit dans la politique de réduction de la quantité d'énergie utilisée dans les salles d'équipement du centre informatique."

"En ce qui concerne le coût, l'utilisation de services basés sur le cloud ne nécessite pas de dépense ponctuelle majeure, contrairement à l'achat d'équipements physiques", explique M. Yang. "Comme il s'agit d'une location annuelle, Secure Internet Access Enterprise est plus facilement accessible pour les universités."

"Le travail lié à la sécurité de l'information n'est jamais terminé. Mais avec Secure Internet Access Enterprise, le nombre de tâches de gestion des incidents est considérablement réduit, ce qui permet de renforcer les défenses contre les attaques de botnet et d'effectuer des analyses d'activité plus complètes", conclut M. Yang.

À propos de l'Université Tunghai

L'Université Tunghai a été fondée en 1955 et fut la première université privée de Taïwan. L'université est le premier et le seul établissement d'enseignement doté d'un programme d'éducation complet, de la maternelle au doctorat. Tunghai compte actuellement neuf universités : Université des arts, Université scientifique, Université d'ingénierie, Université de gestion, Université des sciences sociales, Université d'agriculture, Université des beaux-arts et de la conception créative, Université de droit et Université internationale. Tunghai compte environ 17 000 étudiants et près de 500 enseignants.