Patrick Daxenbichler - Fotolia
Dropbox publie le code de son robot d’aide à la gestion des alertes
Confronté lui-même à la question de la gestion des incidents de sécurité, Dropbox a développé un automate conversationnel visant à accélérer l’élimination des faux positifs.
Le constat de départ est simple : certains utilisateurs sont susceptibles, en toute légitimité, d’actions pouvant déclencher des alertes. Autrement dit, des faux positifs. Mais encore faut-il s’assurer qu’il s’agit bien de cela et que le compte de l’un de ces utilisateurs n’a pas été compromis. Un travail fastidieux qui implique de contacter chaque utilisateur apparemment à l’origine de l’une de ces alertes. Mark Crosbie, directeur confiance et sécurité de Dropbox, résume, lors d’un entretien avec la rédaction : « lorsqu’une alerte est remontée parce qu’un utilisateur fait quelque chose d’inhabituel, nous voulons pouvoir le contacter et lui demander si c’est normal ».
Comme le relève Dropbox, les équipes de Slack se sont déjà penchées sur ce problème, construisant un système conçu pour solliciter les utilisateurs concernés, leur demander de confirmer leurs actions, et renvoyer aux équipes de sécurité des résultats consolidés de ces requêtes. « Nous nous sommes dit que cela avait l’air d’être une bonne idée », explique Mark Crosbie, présentant la chose comme un contrôle de sécurité peu intrusif.
Luke Faraone, ingénieur sécurité chez Dropbox, relève pour sa part l’importance de détecter rapidement les faux positifs pour mieux isoler les véritables incidents de sécurité afin de pouvoir les traiter au plus vite. Et cela sans négliger d’alertes qui pourraient sembler anodines : « ça, c’est terrible pour la sécurité ». Les équipes de Dropbox ont donc décidé de suivre cette voie, construisant leur propre SecurityBot et, aujourd’hui, le rendre accessible à tous, en open source.
L’outil se présente comme un automate conversationnel à intégrer à Slack, justement, pour les échanges avec les utilisateurs. Il utilise une base de données MySQL pour stocker ses données, et s’interface avec les outils de gestion d’authentification forte de Duo Security – afin de s’assurer que c’est bien l’utilisateur concerné qui répond, et pas un éventuel attaquant qui aurait également réussi à compromettre ses outils de communication.
Mais l’automate est écrit en python avec une approche aussi modulaire que possible, permettant d’envisager son intégration avec d’autres outils, que ce soit pour l’authentification des utilisateurs, pour dialoguer avec eux, ou encore pour traiter leurs réponses.
Et pour les équipes de sécurité, cela commence notamment par Splunk. Les équipes de Dropbox fournissent là un plug-in créant une nouvelle action dans le système de gestion des informations et des événements de sécurité (SIEM) permettant de transmettre des alertes à l’automate, mais également de collecter les réponses remontées des utilisateurs qu’il aura collectées, ou encore d’interroger sa base de données.