RSA renforce son service NetWitness Live
Faites ce que je dis.
Faites ce que je dis... mais aussi ce que je fais. Alors qu’Art Coviello, président exécutif de RSA, appelait hier la communauté de la sécurité à miser sur le partage de l’information, l’éditeur vient de présenter la nouvelle mouture de sa plateforme NetWitness Live. Au programme : 30 % de contenus en plus sur les menaces identifiées par des tiers, et une nouvelle intégration avec les plateformes analytiques de RSA.
NetWitness Live est un service de renseignement sur les menaces informatiques. Il s’alimente d’une centaine de sources éprouvées et validées par l’éditeur, en plus des ressources internes de l’éditeur. La nouvelle mouture de la console d’administration de NetWitness permet aux entreprises de choisir les sources d’information à utiliser, pour replacer dans un contexte plus large leurs propres alertes, en fonction de leur environnement d’activité.
RSA a par ailleurs présenté un concept de framework bâti autour de NetWitness Live et de la suite des risques et de la gouvernance Archer, pour améliorer la collaboration et le partage d’informations sur les menaces au sein de l’industrie. Pour cela, RSA propose notamment de s'appuyer sur le standard IODEF pour encoder les informations relatives aux menaces. Et sur RID pour la transmission sécurisée de ces données. Puis sur un standard qualifié d'émergeant, MAEC, pour la description des logiciels malveillants, sur CAPEC, pour la classification des attaques et la description comportementale de leur fonctionnement, etc. Mais ce n'est qu'un début : dans sa présentation de cette réflexion, RSA relève les points sur lesquels la communauté doit continuer d'avancer. À commencer par la mise en place de méthodes fiables pour établir et surveiller la confiance entre tiers participants à l'effort collaboratif, ou encore celle d'infrastructures sécurisées de distribution et d'échanges des informations, ainsi que l'intégration de fonctions d'automatisation de ces échanges au sein des outils de sécurité déployés dans les entreprises.
Interrogé sur cet effort, Eric Baize, directeur de bureau de sécurité des produits d’EMC, souligne le sens de l’initiative : «ne perdons pas de vue le problème que l’on essaie de résoudre, à savoir détecter rapidement une attaque. Et, la plupart du temps, les attaques sont détectées à l'extérieur.» Pour lui, la coopération «est l’une des clés de la réussite du combat contre les APT. L’important, c’est la détection rapide ». Après, à chacun de se différencier par ses outils et ses algorithmes, notamment. Mais est-ce vraiment susceptible d’être efficace face à des attaques véritables ciblées ? Oui, selon Eric Baize. Et de prendre un exemple : «les banques collaborent ensemble depuis plusieurs années dans la lutte contre la fraude aux cartes de crédit. Ainsi, une adresse IP utilisée par des fraudeurs est redistribuée à plusieurs clients bancaires, ce qui permet de réduire rapidement le taux de fraude.» Plus généralement, il insiste : «toute information liée à une attaque, comme les vulnérabilités utilisées, permet d’enrichir les informations de contextes nécessaires à la prise de décision. Plus on dispose d’informations, mieux c’est.»