Les RSSI soulignent l’importance du Big Data pour la sécurité
Selon un panel de RSSI débattant lors de RSA Conference, qui se déroulait fin février à San Francisco, les entreprises qui n’utilisent pas des systèmes dits «Big Data» de collecte de données de sécurité pour identifier les attaques pourraient bien déjà prendre un retard significatif.
Le «big data» et son utilisation dans un contexte de sécurité des systèmes d’information est au coeur de nombreux débats depuis plusieurs mois. Simple
buzz-word ? Pas franchement pour ces quelques RSSI qui débattaient lors de la dernière édition de RSA Conference. Ramin Safai, RSSI de Jefferies & Co., a ainsi expliqué que son entreprise enregistre quelque 5 000 événements réseau par seconde, capturant environ 25 To de données par jour dont son équipe d’analyse, forte de trois personnes, retire en moyenne 50 incidents. Seulement deux d’entre eux correspondent à des activités légitimes. Alex Tosheff, RSSI de la division X.commerce d’eBay, observe en moyenne 10 000 événements par seconde et enregistre 1 Po de données par jour - sans compter les environnements de production externes à sa division et pour lesquels il assure le support - eBay.com, StubHub.com et d’autres encore. Pour identifier les événements importants au milieu de cette masse de données, les organisations construisent des systèmes qui collectent autant de données pertinentes que possible - venues du réseau, des terminaux, des bases de données, des applications, des systèmes de gestion des identités et des accès... Mais c’est la partie facile de l’aventure. Identifier la poignée d’événements qui trahissent une éventuelle intrusion est autrement plus difficile. «Ce qui est important, c’est que votre moteur analytique travaille conjointement avec toutes vos solutions technologies de fournisseurs différents », explique Carter Lee, vice-président en charge de la technologie chez Overstock.com. Selon lui, les systèmes ouverts fonctionnent généralement mieux que les produits des plus grands éditeurs, lesquels induisent une captivité à long terme et ne s’avèrent que trop peu fréquemment mis à jour pour ternir compte de l’évolution des menaces. Après cinq ans consacrées à cette tâche, l’organisation de Tosheff a fini par retenir une combinaison de produits du commerce et d’outils développés en interne, en s’appuyant sur des jeux de règles définis sur-mesure pour identifier les incidents d’exfiltration de données. «Nous avons essayé d’évoluer avec la menace », explique-t-il : «c’est une course à l’armement et il est difficile de garder le rythme. Mais on n’a pas le droit de s’arrêter.»
Big Data 2.0 : utiliser les données pour identifier les campagnes d’attaques Mais identifier les incidents suspects ne suffit même plus. Modérateur du débat, Richard Stiennon, du cabinet de conseil IT-Harvest, s’en est aperçu l’an passé, dans le cadre d’une mission chez un important sous-traitant du secteur de la défense. L’occasion pour lui d’observer une tendance : ses équipes identifiaient et corrélaient des indicateurs d’attaques clés et parvenaient à les regrouper en campagnes, coordonnées, avec plusieurs phases, et organisées par des acteurs connus. Le groupe de détection du crime électronique de l’organisation de Tosheff a les mêmes responsabilités et combine son renseignement interne avec des sources externes pour identifier différents acteurs malveillants, dont des groupes de fraude, des
hacktivistes et des voleurs de données. Ses découvertes sont alors documentées suivant une taxonomie commune et rapidement partagées avec des groupes industriels via des mécanismes tels que ceux du
FS-ISAC. «Il est extrêmement important de suivre les campagnes. Si vous ne le faites pas encore, faites-le », a lancé Praveen Money, RSS de Datashield Consulting à Phoenix. «C’est la collecte des attributs des attaques qui vous aidera à détecter et à lutter contre l’attaque suivante.» Pour lui, en corrélant les incidents et en identifiant les attributs communs des attaques, une entreprise peut trouver de qui peuvent être ses attaques et ce qu’ils sont susceptibles de chercher, réduisant ainsi le délai futur entre détection et réaction. «Les indicateurs clés n’ont pas beaucoup de sens en eux-même. Mais si les rassemblez, vous pouvez aller au-delà de ce qui ne semblerait être que des instances bénignes », a-t-il expliqué. «En rassemblant tout cela au sein de campagnes, votre organisation de remédiation avancera à grands pas.»
Splunk, favoris des systèmes SIEM La plupart des participants à la table ronde ont indiqué utiliser le vénérable outil de capture et d’analyse de paquets Splunk comme principal outil d’analyse, préféré à des produits commerciaux plus onéreux de gestion des informations et des événements de sécurité (SIEM). Même si l’organisation de Safai consolide de nombreux logs au sein d’un SIEM, les données sont envoyées à Splunk parce qu’aucun autre outil ne peut supporter des données aussi complexes et en aussi grandes quantités. Safai indique avoir discuté avec des éditeurs de SIEM mais il assure qu’aucun d’entre eux n’offre la même capacité à zoomer rapidement sur un ensemble de données et à voir les événements en fonction d’un moment ou d’un équipement précis, ou encore de pointer un événement puis de reprendre du recul et d’utiliser cet événement comme point de départ pour chercher des tendances ou des répliques. «C’est cette fonctionnalité et la rapidité de l’outil» qui comptent pour lui. «Notre SIEM n’a rien de tout cela. Il est très lent. Il lui faut 24h pour faire ça, contre 2 minutes avec Splunk.» Et puis, pour Tosheff, Splunk «fonctionne de manière cohérente avec la démarche intellectuelle d’un ingénieur. Et c’est un outil flexible ». En outre, selon lui, un SIEM ne couvre pas tout le spectre des sources de données potentielles : «il faut accepter de prendre la responsabilité de construire des outils pour son propre contexte. Il n’y a pas de produit clé en mains adapté à tous les contextes.»
Les data scientists, une espèce très recherchée Mais de bons outils et de bons jeux de règles ne font pas tout et, de l’avis général, il faut des analystes talentueux pour identifier les anomalies et les campagnes d’attaques que les machines ne voient pas systématiquement. Las, ces profils sont difficiles à trouver. Et comme l’a fait remarquer un participant, ils comptent parmi les plus recherchés dans l’actuel monde de l’IT. Safai mise pour cela sur des étudiants en alternance qui acceptent d’analyser des données en échange d’une expérience pratique. «On peut trouver, d’après mon expérience, des analystes talentueux dans les communautés d’ingénieurs », a pour sa part relevé Money. Les entreprises pour lesquelles il est intervenu proposaient par exemple aux professionnels de l’IT d’analyser de temps à autre des données et les récompensaient en prenant en charge leurs frais de voyage pour participer à des conférences. Quant à Lee, résumant la frustration générale, il s’est contenté d’encourager à décoller les adolescents de leurs manettes de consoles de jeux pour les amener vers ce domaine...
Adapté de l’anglais par la rédaction