pixel_dreams - Fotolia
Une menace fait les gros titres ? Anomali veut aider à savoir si l’on est concerné
L’éditeur vient de présenter Lens, une application qui vise à simplifier considérablement l’ingestion opérationnelle d’informations publiques sur les menaces. Un complément à Match qui permet de savoir si l’on est affecté.
Historiquement, Anomali s’est construit autour d’un produit dédié à la gestion du renseignement sur les menaces : ThreatStream. C’était même, initialement, le nom de l’éditeur. Mais depuis, son offre a évolué, jusqu’à très récemment. Et cela commence par le changement de nom d’Anomali Enterprise, devenu Anomali Match.
Rencontré à l’occasion des Assises de la Sécurité, la semaine dernière, à Monaco, Hugh Njemanze, PDG de l’éditeur, explique l’idée sous-jacente : « c’est le premier cas d’usage de notre plateforme ; prendre un indicateur de compromission et regarder si la menace correspondante a été observée dans son environnement, y compris sur plusieurs années d’historique, en l’espace de secondes ». Il s’agit là d’utiliser Anomali Match conjointe à un système de gestion des informations et des événements de sécurité (SIEM) pour confronter ses observations à une base de données de plus de neuf millions d’indicateurs – bien plus que ce qu’un SIEM peut ingérer, selon Hugh Njemanze. Cerise sur le gâteau, l’outil met ses découvertes en perspective avec la criticité métier des actifs concernés.
Mais si Anomali a décidé de rebaptiser son principal produit « Match », c’est pour mieux lancer « Lens ». Celui-ci vise à automatiser l’ingestion et l’exploitation de renseignement en sources ouvertes – ou non, d’ailleurs. L’idée de base est simple : « vous êtes en train de lire un article ou un rapport de recherche. Lens le “lit” avec vous et surligne tous les détails pertinents. D’un survol de souris sur un nom de groupe malveillant, vous accédez aux noms qui lui ont été donnés par d’autres éditeurs ».
Cette fonctionnalité présente un intérêt certain : aider les analystes à tirer profit de l’expérience de la communauté, même si eux-mêmes n’en ont pas tant que cela. De quoi embarquer plus aisément les jeunes recrues. Mais cela va plus loin, car l’outil surligne différentes informations suivant un code couleur précis mettant à profit Anomali Match.
Ainsi, un indicateur surligné en bleu est totalement inconnu à la communauté mondiale des clients Anomali et des centres de partage (ISAC). Le jaune est utilisé pour les indicateurs connus, mais inactifs. Orange ? Actif, mais pas observé dans le SI. Rouge… connu, et actif dans l’environnement de l’utilisateur, suivant l’historique disponible. En un clic, il est dès lors possible de fouiller dans celui-ci, d’obtenir une chronologie de propagation : « nous parlons de forensiques en temps réel », indique Hugh Njemanze.
Mieux encore, en un clic, il est possible de générer une synthèse de ce qui est mentionné dans l’article, de construire un rapport, avec indicateurs de compromission et enrichissement, personnalisable. « Quelque chose qui pourrait prendre une semaine à un analyste », relève le patron d’Anomali.
Si l’apport de telles fonctionnalités peut paraître évident à certains experts, cela ne vaut pas forcément pour tous. Hugh Njemanze le reconnaît d’ailleurs volontiers : en matière de renseignement sur les menaces, la maturité n’est pas toujours au rendez-vous, en particulier, en Europe. Alors face à cela, l’éditeur développe une activité d’évangélisation dont le rôle sera d’aider les entreprises à prendre conscience des apports du renseignement sur les menaces. Sans non plus se faire d’illusions.