alphaspirit - Fotolia
Accenture lance un service de détection de menaces sur le réseau
Basé sur le tout jeune projet Open Network Insight, ce service mise sur l’analyse des flux réseau et des requêtes DNS pour identifier, grâce à l’apprentissage automatique, les anomalies comportementales.
Accenture vient d’annoncer le lancement d’un nouveau service de sécurité managé qui doit aider ses clients à identifier plus rapidement les attaques dont ils sont victimes. Ce service s’appuie en effet sur une plateforme assurant l’analyse des requêtes DNS (via les interfaces pcap des équipements) et des flux réseaux (avec nfcapd) au sein de l’infrastructure des clients de la SSII pour déterminer les modèles comportementaux normaux, automatiquement, en mettant à profit les technologies d’apprentissage machine, et identifier les éventuelles anomalies.
Avec cette offre, Accenture met donc un pied sur le terrain de l’analyse comportementale de sécurité en mode service, avec une approche technologique rappelant celles de DarkTrace et de Vectra Networks, notamment. Mais la SSII ne s’appuie pas sur leurs solutions. Dans un communiqué de presse, elle explique avoir recours à « une version largement sur-mesure d’Open Network Insight » (ONI).
La première version de ce projet ouvert est disponible depuis la fin février. Il s’appuie sur Spark et Hadoop et se veut extensible, « permettant à des fournisseurs d’améliorer le modèle de données et de développer leurs propres applications innovantes au-dessus ». Outre nfdump pour la capture des flux réseaux, il utilise également le composant en ligne de commande de Wireshark pour décoder les paquets de données.
Anomali, spécialiste de la gestion du renseignement sur les menaces, fondé par Hugh Njemanze, ancien co-fondateur d’ArcSight, voit dans le projet la promesse de la possibilité d’intégrer plus d’information contextuelle dans l’investigation des incidents. Intel et Webroot le supportent également, parmi d’autres.
Lors de l’annonce d’ONI 1.0, Tome Reilly, patron de Cloudera, expliquait vouloir s’appuyer sur le projet pour « stimuler le développement de modèles objets ouverts allant au-delà du réseau pour intégrer les points de terminaison et l’utilisateur/l’identité ». Et justement, ce sera peut-être là le bémol, au moins pour le moment, de cette offre d’Accenture : l’omission des points de terminaison, notamment. Pour beaucoup, le réseau n’offre pas assez de visibilité sur les menaces, comme le soulignait récemment dans nos colonnes Christian Fredrikson de F-Secure.