Ces nouveaux outils qui simplifient le travail des analystes de SOC
De jeunes pousses - comme Siemplify et SecBI - cherchent à aider les analystes en facilitant le travail d’investigation grâce à des représentations consolidées des alertes et des informations qui s’y rapportent.
Secbi est une jeune pousse israélienne fondée en 2014 par Alex Vaystikh et Doron Davidson, deux anciens de RSA. Elle compte parmi ces acteurs qui cherchent un moyen de soulager les analystes des centres opérationnels de sécurité (SOC) pour leur permettre de traiter plus d’alertes, plus rapidement.
Son outil collecte et analyse les métadonnées du trafic réseau pour détecter des événements suspects, mais également pour présenter une vue consolidée d’alerte, à raison d’une seule par incident.
Dans un entretien avec la rédaction, Gilad Peleg, PDG de SecBI, souligne l’enjeu : « les entreprises réalisent qu’à un moment donné, elles seront compromises. La protection est indispensable, mais elle ne suffit pas. L’élément clé pour prévenir une vaste brèche est la détection. Il faut pouvoir détecter vite et précisément pour pouvoir être capable de bloquer et nettoyer la menace ».
Las, les pirates cachent leurs activités malicieuses au milieu d’activités légitimes. La botte de foin dans laquelle chercher la menace s’avère particulièrement grosse. Et les alertes remontées aux analystes dans les SOC, nombreuses.
Dans nos colonnes, Laurent Besset, d’I-Tracing, décrivait d’ailleurs récemment des analystes « entre burn-out et bore-out ».
Eviter un travail usant
Début 2015, Alex Vaystikh résumait la situation : « c’est un problème lié au manque d’outils pour nous aider. Nous sommes très bons à détecter des motifs et, en conséquence, très mauvais à remarquer des détails, en particulier lorsque l’on est submergé par des données similaires ».
Gilad Peleg explique donc l’approche de SecBI : « on ne veut pas bombarder les analystes avec des alertes sporadiques, ni l’envoyer à la poursuite d’alertes distinctes pour comprendre l’ensemble d’un incident. Nous voulons l’aider en lui présentant des incidents recouvrant plusieurs alertes, et lui permettre de les appréhender dans leur globalité, depuis leur point de départ ».
Et la logique semble fonctionner. Gilad Peleg évoque l’exemple d’une institution financière de 5.000 collaborateurs avec laquelle SecBI a réalisé un pilote. « Nous avons collecté 3,5 milliards de journaux syslog représentant un mois d’activité ». Son analyse a permis d’identifier trois utilisateurs dont les machines avaient été compromises par Dridex.
Leurs machines « communiquaient avec une dizaine de domaines sporadiques, sans qu’un réel motif n’apparaisse. Elles échangeaient aussi avec 20 adresses IP différentes pour lesquelles aucune information de threat intelligence n’était disponible. Cinq mégaoctets de données avaient été exfiltrés, mais sur 14 points de dépôt différents, et le tout chiffré ».
Les indices de cet incident étaient disséminés dans 200 journaux. « Une vingtaine d’entre eux avaient généré des alertes […] Pour un analyste, cela veut dire fouiller parmi 180 journaux d’événement apparemment anodins. Et faire ça vingt fois parce qu’il n’y a personne pour vous indiquer que ces alertes sont liées ».
Recouvrir à l’apprentissage machine
Pour fonctionner, la plateforme de SecBI s’alimente auprès des équipements réseau, rappelant ainsi l’approche de Darktrace.
La première étape consiste donc à « extraire les informations des logs. Beaucoup de choses peuvent être collectées ». L’une des principales difficultés consiste à replacer ces données dans un contexte pour reconstruire les sessions des utilisateurs – et pas sous un angle strictement technique bas niveau.
Ce travail permet aux algorithmes d’apprentissage automatique – Machine Learning – d’associer les événements à des clusters. Car contrairement à d’autres comme PatternEx, SecBI a fait le choix de l’apprentissage automatique non supervisé. Il n’est pas question de pointer des exemples à la machine pour apprendre comment classifier des événements ; c’est à elle d’en découvrir la structure cachée en constituant des groupes plus ou moins homogènes. Les clusters ainsi construits « représentent l’activité d’un ou plusieurs utilisateurs sur une période données ».
Gilad Peleg indique de SecBI développe en interne ses propres algorithmes et insiste sur le fait que les clusters comportementaux établis par ceux-ci peuvent concerner plusieurs utilisateurs : « avec un seul, le rapport signal/ bruit est très bas. Plus le cluster concerne d’utilisateurs, plus ce rapport est élevé ». Et plus le sont aussi les chances de trouver des anomalies.
Les incidents détectés sont ensuite présentés aux analystes de manière consolidée, avec pour chaque attaque des éléments de chronologie, la liste des indicateurs découverts, les systèmes compromis ou encore la nature de l’attaque.
C’est fin septembre qu’Orange Digital Ventures a annoncé avoir pris une participation dans SecBI. On imagine bien l’intérêt du groupe par cette jeune pousse alors que sa division Cyberdéfense vient de présenter une offre de SOC managé qui emploie 120 personnes réparties entre la France et l’Inde.
Au-delà sur SIEM, pour faire plus simple
Sortie de l’ombre en début d’année, Siemplify ambitionne de proposer aux analystes de SOC une unique interface depuis laquelle traquer et répondre aux incidents de sécurité.
La jeune pousse américaine, fondée en 2015 et qui vient de lever 10 M$, propose une plateforme ayant l’ambition de répondre à tous les besoins des analystes des centres opérationnels de sécurité (SOC) en consolidant événements de sécurité, flux de renseignements sur les menaces ou encore informations sur les vulnérabilités. Sans sous oublier le volet orchestration de la réponse à incident.
Mi-février dernier, Amos Stern, PDG et co-fondateur de Siemplify, expliquait comment, au cours de son expérience professionnelle, il avait pu constater que « les outils cyber échouent à répondre aux défis opérationnels auxquels sont confrontées les équipes de sécurité ».
D’où l’idée de la plateforme ThreatNexus, conçue suivant un « modèle de centre de commande pour le SOC, combinant analyse temps réel, investigation visuelle, et réponse à incident ». Pour cela, il s’agit de réduire la part d’analyse restant à la charge des exploitants de SOC au milieu des alertes qui leur sont remontées. Notamment en réduisant l’importance des compétences purement techniques liées à l’exploitation des outils.
« Les analystes sont embauchés pour leur capacité à comprendre le sens des données, pas pour leur capacité technique à écrire une requête sur une base de données ».
Replacer les événements dans leur contexte
La plateforme ThreatNexus a donc été conçue avec l’ambition de replacer automatiquement dans le contexte de l’organisation les données de sécurité internes et externes – y compris les renseignements sur les menaces ; de corréler les alertes générées par tous les systèmes de sécurité déployés ; de « filtrer le bruit de fond » des alertes et les hiérarchiser ; ou encore de s’intégrer à l’infrastructure de sécurité existante pour permettre une réponse à incident à partir d’une console unique.
Pour cela, la plateforme ThreatNexus s’appuie sur six modules. Le premier est un outil de gestion de cas et de tickers d’incidents. Il s’appuie sur un moteur d’analyse chargé de corréler et de grouper les alertes critiques en une liste de cas hiérarchisés. Chaque cas donne directement accès aux informations qui lui sont associées ainsi qu’aux workflows de remédiation.
Ce premier module apparaît en fait comme un point d’entrée. De là, les analystes peuvent étudier en profondeur les cas présentés, de manière graphique, en s’appuyant sur les différentes sources de données de l’infrastructure de sécurité.
Les flux de renseignements sur les menaces sont intégrés, permettant de faire ressortir rapidement les liens entre événements observés et menaces connues, le tout dans le contexte de l’organisation à protéger.
Enquêter par hypothèses
ThreatNexus permet également de formuler aisément des hypothèses, comme des scénarios d’attaques, et de chercher les traces qui seraient susceptible de trahir des activités cohérentes avec des hypothèses. Le tout pour appréhender la protection de l’organisation de manière proactive.
Face à un incident, le moteur d’orchestration de la plateforme, présenté en juillet, permet d’automatiser partiellement ou complètement la réponse, suivant des workflow prédéfinis.
L’intégration est supportée avec les systèmes de gestion des informations et des événements de sécurité (SIEM) Splunk, ArcSight, ou QRadar, mais également avec les outils de McAfee, Symantec, Carbon Black, Tanium, FireEye, RSA, ou encore Palo Alto Networks.
Devant cette liste, on relèvera au passage qu’Alex Daly, ancien fondateur et patron d’ArcSight fait partie des investisseurs de Siemplify.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Réserve fédérale américaine : la revendication de LockBit 3.0 fait pschitt
Par: Alexander Culafi
-
![]()
Avec Siemplify, Google s’invite dans l’automatisation et l’orchestration de la sécurité
Par: Valéry Rieß-Marchive
-
![]()
Supercalcul : Nvidia lance le réseau Infiniband accéléré Quantum-2
Par: Madelaine Millar
-
![]()
SIEM : pourquoi LogPoint rachète SecBI
Par: Valéry Rieß-Marchive
