Netflix ouvre son outil de gestion automatique des incidents
La plateforme de vidéo à la demande vient de rendre disponible, en open source, Fido, son outil interne de réaction automatisée aux incidents de sécurité.
La plateforme de vidéo à la demande vient de mettre à la disposition de tous, en open source, son propre outil interne de réaction automatisée aux incidents de sécurité. Baptisé Fido – Fully Integrated Defense Operation – est conçu pour « analyser les événements de sécurité et répondre aux incidents de manière automatique », explique Netflix dans un billet de blog.
Dans ce même billet, la plateforme rappelle un contexte bien connu : « le processus typique d’examen d’alertes de sécurité demande beaucoup de travail et s’avère largement manuel. Ajoutant à la difficulté de la situation, les attaques augmentent en nombre et en diversité, et il y a un éventail toujours plus vaste de systèmes de détection déployés, générant plus d’alertes à examiner ». Las, « Netflix, comme toutes les organisations, dispose d’une quantité finie de ressources pour combattre ce phénomène ». Et c’est ainsi qu’est né Fido, « pour aider ».
Orchestrer analyse, corrélation et réaction
La plateforme présente son outil comme une « couche d’orchestration qui automatise le processus de réponse aux incidents en évaluant, examinant, et répondant aux logiciels malveillants et autres menaces détectées ».
Proposée librement sur GitHub, Fido se nourrit des informations remontées par les équipements de l’infrastructure, mais également de sources de renseignements sur les menaces internes et externes pour analyser, corréler et enrichir les alertes, notamment de notation de niveau de risque. De quoi mettre à jour en continu un tableau de bord aidant à la prise de décision.
En entrée, Fido peut se connecter à diverses sources, via leurs API, mais également leurs logs, des bases de données SQL, ou encore des e-mails. Il supporte les détecteurs Cyphort, ProtectWise ou encore CarbonBlack/Bit9, souligne Netflix.
L’analyse approfondie des événements s’appuie de son côté sur des sources internes telles que l’annuaire, ou encore des plateformes d’administration comme celles de LANDesk et de JAMF.
Après, Fido peut simplement envoyer un e-mail d’alerte aux équipes de sécurité ou bien lancer automatiquement des actions correctrices, comme la désactivation d’un compte utilisateur ou l’interruption d’une connexion VPN, voire la fermeture d’un port réseau.
Une démarche ouverte de longue haleine
Dans son billet de blog, Netflix explique utiliser Fido depuis 4 ans et prévoir encore de l’améliorer et de l’enrichir, notamment avec l’intégrations supplémentaires – et en particulier avec SentinelOne, un spécialiste de l’analyse du comportement utilisateur sur le poste de travail.
C’est loin d’être la première fois que Netflix met à la disposition de la communauté des outils développés en interne pour assurer la sécurité de son infrastructure. En août dernier, il s’agissait de trois outils de renseignement sur les menaces de sécurité à partir de sources ouvertes. Un peu plus tôt, la plateforme de vidéo à la demande, qui n’est autre que le plus gros client d’Amazon AWS, avait rendu public Security Monkey, l’outil qu’il a développé pour disposer d’un meilleur aperçu des changements et des risques de sécurité dans son environnement AWS.