Avec Blindspotter, Balabit prend pied sur le terrain de l’UBA
Plus connu pour ses outils de protection des comptes à privilèges et de gestion des logs, Balabit fait intrusion sur le marché naissant de l’analyse comportementale des utilisateurs.
Balabit est plutôt connu pour sa solution de protection des comptes à privilèges, utilisée notamment par Docapost, ou son outil de gestion de logs, syslog-ng, disponible en open source comme en édition commerciale dite premium. Mais le Hongrois vient de lancer sur le marché Blindspotter, une solution d’analyse comportementale des utilisateurs (UBA, User Behavior Analytics).
Dans un entretien téléphonique, Dàniel Bàgo, responsable du marketing produit de la nouvelle solution, reconnaît qu’il s’agit là d’un marché émergent, mais clé : pour lui, les règles prédéfinies telles que les entreprises les pratiquent avec leurs systèmes de gestion des événements et des informations de sécurité (SIEM) sont trop chronophages et montrent, de facto, leurs limites. L’UBA apparaît donc comme une alternative clé, notamment avec le recours au Machine Learning. Avec Blindspotter, Balabit en utilise plusieurs algorithmes dont il combine les résultats.
Alors, certes, Dàniel Bàgo refuse de se comparer à ses concurrents sur un marché jeune, « qui change continuellement » et dont il est difficile de savoir « ce qu’il sera dans trois ans » alors que « les attentes des clients ne sont pas encore claires ». Mais il est difficile de ne pas voir des similitudes dans l’approche de Balabit avec celles de Fortscale et du français iTrust, ou encore Brainwave avec IdentityGRC 2015.
De fait, si ces derniers s’appuient sur les données consolidées par les SIEM pour détecter les comportements anormaux – entre autres sources –, Blindspotter n’opère pas de manière sensiblement différente : « il utilise des données existantes dans l’infrastructure, consolidées dans les systèmes de gestion des logs [comme syslog, sans surprise, NDLR], les solutions d’IAM, les annuaires, notamment », explique Dàniel Bàgo. Parce que la liste ne s’arrête pas là : « nous proposons des collecteurs de données sur-mesure qui permettent d’intégrer plus de sources de données. Nous en développons pour AWS et les Google Apps. Mais nous pouvons aussi nous adapter aux besoins spécifiques de clients. Blindspotter est très flexible en termes de sources de données. Nous pensons qu’il est crucial de disposer des meilleures données disponibles ».
De là, l’analyse des nouvelles données se fait en quasi-temps réel, après une étape d’établissement des profils « normaux » de l’ordre de deux jours.
Alors si Splunk a récemment pris la même direction en rachetant Caspida, Balabit a construit sa solution d’UBA en interne, au fil de près d’un an et demi d’efforts. Dàniel Bàgo souligne au passage que 60 % des plus de 200 employés du Hongrois sont des développeurs. Et l’investissement de 8 M$ reçu en juin 2014 par Balabit n’a pas dû être totalement étranger à la naissance de Blindspotter.
Au final, pour Dàniel Bàgo, l’approche centrée sur les logs apparaît bien comme la plus rationnelle, par rapport à d’autres misant sur le poste utilisateur, comme SentinelOne, ou d’autres encore, sur le réseau, à l’instar de DarkTrace et de Vectra Networks, voire à un Microsoft qui mise tant sur le réseau que sur les logs : « nous voulons travailler avec des données existantes, sans avoir besoin d’installer des agents ou de nouvelles sondes. Le déploiement est plus simple et l’analyse est plus rapide. Je ne dis pas que les autres approches ne sont pas bonnes, mais nous pensons que la nôtre fournit la meilleure combinaison de résultats et d’efficacité ».
Avec un objectif clé : « réduire les fausses alertes, les fameux faux positifs. Nous pensons que c’est vraiment ce dont les clients ont besoin ». Et dès lors, Blindspotter peut s’intégrer à des SIEM ou des outils de gestion de tickets. Mais l’outil est également capable de réagir de manière autonome, en émettant des alertes de différentes natures, ou bien en exécutant des actions prédéfinis via des scripts.