La sécurité se met résolument au «Big Data»
La coopération est à la mode, en matière de sécurité. Les initiatives et les appels se multiplient pour le partage d’informations sur les menaces en cours. Mais un partage structuré, automatisé, pour que les informations n’en soient que mieux intégrées aux moteurs d’analyse et de corrélation des systèmes de sécurité déployés dans les entreprises et les administrations. En clair, la sécurité informatique est en train, comme le décisionnel, de prendre le virage dit du «big data».
Déjà, en octobre dernier, lors de l’édition européenne de RSA Conférence, Art Coviello, président exécutif de RSA, l’assurait : «l’âge du Big Data en sécurité est arrivé.» De fait, Eric Schwartz, RSSI de l’éditeur, recommandait alors une approche de la sécurité en trois volets, dont l’intégration du contexte dans lequel les comportements des utilisateurs et des systèmes sont analysés afin de donner du sens à l’analyse et lui permette de servir de fondement à la décision. Une pincée de décisionnel dans la sécurité, donc.
Depuis lors, Art Coviello a eu l’occasion de réitérer et d’affiner son message, en particulier lors de la récente édition américaine de la conférence RSA. Mais la démarche est loin d’être isolée. L’initiative d’AlienVault, avec son Open Threat Exchange, relève de la même logique. Julio Casal, fondateur de l’éditeur d’outils de sécurité Open Source, explique vouloir intégrer les sources externes et les données d’inventaire de l’infrastructure pour limiter les faux positifs.
Dès lors se pose la question des éventuels transferts technologiques qui pourraient s’opérer du monde de l’analytique et du décisionnel vers celui de la sécurité. Et vice-versa, même. Log Logic, par exemple, dispose d’une architecture de distribution des requêtes et encore de compression/décompression à la volée des logs par blocs spécifiquement identifiés. Par certains côtés, cela peut rappeler ce que l’on trouve dans le monde de l’analytique et du décisionnel, ou tout du moins l’intéresser. Mandeep Khera, vice-président exécutif de Log Logic, reconnaît volontiers des points de convergence entre ces mondes : «nous sommes des partenaires potentiels pour des entreprises de l’analytique.» D’ailleurs... «nous commençons à discuter avec certains ». Pour lui, ce sont surtout ses algorithmes de traitement des logs - le parsing -, mais aussi de collecte et de transfert des données qui sont susceptibles d’intéresser le monde de l’analytique - «ce sont des points clés pour eux », assure-t-il. Martin Roesch, fondateur de Sourcefire, est plus réservé.
S’il reconnaît des «similarités», et notamment des passerelles, tout particulièrement au niveau des algorithmes, «les deux cercles ne se rencontrent pas », estime-t-il, tout en indiquant qu’en matière d’algorithmes, justement, les deux mondes de l’analytique et de la sécurité sont parfois amenés à «piocher dans les mêmes pools de ressources ». Pour mémoire, derrière le service d’analyse en mode Cloud de Sourcefire, FireCloud, on trouverait notamment de l’Hadoop et du NoSQL. Mais Brian Fitzgerald, vice président de RSA en charge du marketing, constate déjà un phénomène de convergence : «de nombreux responsables de la sécurité informatique ont beaucoup de données à traiter et recherchent des personnes qui connaissent l’analytique.» Et même, de préférence, «des analystes venus du décisionnel, qui peuvent étudier les données de sécurité sans idées préconçues, qui sont capables de trouver des schémas logiques au milieu de toutes ces données.»
Martin Roesch (Sourcefire) milite pour l’analyse collective
Les entreprises disposent de toute une myriade de systèmes de sécurité collectant des données sur les menaces auxquelles elles sont confrontées. Mais il leur est difficile d’en retirer des informations permettant de produire une connaissance en temps réel des attaques visant l’entreprise. Martin Roesch, fondateur et directeur technique de Sourcefire, estime que le renseignement actif portant sur les menaces informatiques est une composante clé de la lutte contre les attaques ciblées.
Selon lui, les systèmes de détection d’intrusion (IDS), mais aussi de prévention (IPS), qui surveillent l’activité réseau, peuvent être utilisés avec plus de visibilité au niveau du endpoint pour gagner une meilleure compréhension des attaques en cours. Il utilise l’acquisition d’Immunet par Sourcefire, pour un montent de 21 M$, pour construire un réseau de renseignement temps réel. L’entreprise a ainsi récemment annoncé le lancement FireAMP, un composant basé sur la technologie d’Immunet et reposant sur un agent logiciel qui, une fois déployé, va transmettre des données de renseignement sur les menaces aux serveurs de Sourcefire. Elles y seront analysées et enregistrées dans une vaste base de données mondiale, et partagées via des alertes aux autres utilisateurs de la solution.
Pour Roesch, il s’agit de renforcer la capacité des systèmes de l’éditeur à détecter et bloquer rapidement des fichiers malicieux visant des vulnérabilités de type 0-day - qui passent souvent au travers des mailles des systèmes de sécurité basés sur des signatures. «Nous disposons d’une visibilité étendue, comme par exemple lorsque Firefox lance un autre exécutable et que celui-ci commence à télécharger un autre logiciel qui s’installe lui-même. [...] Nous pouvons également contrôler ce qui se passe après le blocage.» Lorsque Roesch évoque le futur des IPS, il parle d’intégration plus poussée avec les systèmes de sécurité réseau. L’entreprise travaille à construire une intégration plus profonde avec son pare-feu de nouvelle génération, ajoutant une connaissance du contexte à ses produits.
Selon Andrew Hay, analyste senior du groupe 451, Sourcefire est en train de prendre la même direction que le reste de l’industrie de la sécurité, en utilisant du renseignement sur les menaces pour créer des technologies de sécurité plus offensives. Sourcefire a eu la clairvoyance de faire évoluer ses appliances d’IDS/IPS vers d’autres domaines, alors que le marché des IDS/IPS s’est banalisé. Sourcefire a ainsi présenté un pare-feu de nouvelle génération basé sur sa technologie d’IDS.
L’entreprise a surpris l’industrie avec le rachat d’Immunet, mais le lancement de FireAMP aide à y voir plus clair dans la vision stratégique de Roesch. «Plus il y a d’utilisateurs, mieux ce sera, car cette solution va utiliser la puissance du renseignement collectif. Et c’est bien cela qui avait fait d’Immunet une cible de choix », estime Hay. Adapté de l'anglais par la rédaction.
Le «Big Data» appliqué à la sécurité aide une banque à renforcer son programme de sécurité
Comme d’autres organisations, Zions Bancorporation a été confronté à la montée en puissance des menaces informatiques au point d’atteindre la «fatigue des appliances de sécurité». En clair, pour chaque nouvelle menace, un fournisseur proposait une nouvelle appliance. La banque disposait de volumes considérables de données de sécurité, dont les rapports d’activité (logs) de Windows et de ses systèmes de détection d’intrusion (IDS). Mais elle avait des difficultés à en tirer profit pour ses analyses de sécurité.
Deux systèmes de gestion des événements et des informations de sécurité (SIEM) ont aidé à l’analyse des logs mais Zions a atteint les limites de la technologie existante alors qu’elle cherchait à mettre en place une stratégie de sécurité basée sur ses données. Cette holding bancaire basée à Salt Lake City a trouvé une réponse à sa problématique en s’appuyant sur les concepts les plus tendance du moment en matière de sécurité de l’information : le «big data».
Plus précisément, elle a commencé à extraire de l’information de ses multiples sources de données de sécurité en développant un entrepôt de données de sécurité Hadoop, en mode hébergé. «Le ‘big data’ n’est qu’un sujet à la mode. Nous pensons que c’est quelque chose aux conséquences considérables pour l’ensemble de l’industrie », expliquait Preston Wood, RSSI de Zions, lors d’une présentation sur RSA Conference 2012. L’exploitation de grands volumes de données de sécurité permet à l’entreprise de fouiller au travers de l’ensemble de son infrastructure pour accélérer les enquêtes a posteriori et améliorer la détection de fraudes, ainsi que la sécurité du SI dans son ensemble. L’entrepôt a permis à Zions de rassembler des données jusque l’à éparpillées, et de conserver quelques années de données, ce qui est mieux pour modéliser le contexte de sécurité de l’entreprise, explique Michael Fowkes, directeur de la gestion des fraudes.
L’entrepôt stocke plus de 120 types de données différents : transactions, alertes de fraude... mais aussi logs de serveurs, de pare-feu, ou encore d’IDS. Au bout de deux ans de collecte de données, l’entrepôt stocke désormais 120 To. Zions utilise une couche d’outils analytiques, commerciaux et développés sur mesure, ainsi que des analystes pour exploiter ses données. «Pour retirer de la valeur de nos données, nous avons évidemment besoin de personnes» capables d’examiner les données. Aaron Caldero, data scientist chez Zions, explique que sa fonction représente un domaine émergent qui implique l’application de méthodologies statistiques pour filtrer et étudier les données. Il décrit le processus comme une façon différente d’approcher la sécurité des données et permet d’adopter un posture proactive et non plus seulement réactive. «En tant que détective des données, j’ai un peu l’impression d’être dans la peau de Sherlock Holmes », a-t-il expliqué.
Selon Fowkes, l’entreprise a considérablement gagné en rapidité pour ses activités d’investigation post mortem. Auparavant, la réaction à un incident impliquait un processus d’examen de logs volumineux, fortement chronophage.
«Avoir tout cela au sein d’Hadoop, c’est comme avoir une version distribuée de la commande grep.»
Kelly White, directeur de la sécurité de l’information de Zions, explique que cette stratégie de Big Data a aidé l’entreprise à améliorer sa modélisation des menaces. Par exemple, l’équipe d’analystes des menaces a déjà identifié les signes d’une attaque par phishing ciblé, mais la fait de combiner ces données avec des méthodologies statistiques renforce considérablement la capacité de la banque à identifier des attaques potentielles.
Le détournement de comptes - à partir de logiciels malveillants - est un problème de sécurité majeur pour les entreprises du secteur financier, relève Fowkes. Mais le renseignement obtenu par sa stratégie de «Big Data» aide Zions à agir rapidement en s’appuyant sur les informations obtenues de diverses sources, portant sur les menaces de logiciels malveillants. La banque prévoit de s’appuyer sur ses capacités analytiques et sur le renseignement pour automatiser la réponse aux menaces.
Bien que le déploiement d’un tel système puisse constituer un défi pour certaines organisations, Wood a expliqué à son auditoire que de nombreuses entreprises disposent déjà des compétences analytiques nécessaires. Au lieu de s’appuyer sur des produits de sécurité et sur les rapports qu’ils produisent, il conseille aux équipes de sécurité de «regarder de plus près leurs données et d’en extraire l’information par eux-mêmes ». Il n’y a pas de produits clés en main pour une stratégie de sécurité big data, indique Wood : «les entreprises doivent commencer modestement en profitant des outils dont elles disposent déjà, avant d’étudier d'autres, venus du monde du décisionnel, qu’ils soient Open Source ou commerciaux. [...] Appréhendez le Big Data comme une démarche, pas comme une finalité.» Adapté de l'anglais par la rédaction.
La sécurité à l’heure du Big Data
Quel point commun trouver à HP/Vertica, Oracle, Teradata, et SAP/Sybase ? Là, c’est assez facile : le fameux Big Data. Mais ajouter à cet échantillon des ArcSight, des RSA... Audacieux ? Non, pas pour RSA, pour qui «la sécurité est entrée dans l’âge du Big Data ». De fait, les bases de données jouent un rôle crucial dans l’efficacité des systèmes de gestion des données des incidents de sécurité. De même que les capacités analytiques et décisionnelles. Et les passerelles promettent de se multiplier entre les deux mondes, au cours des prochains mois.
Eddie Schwartz, RSI de RSA, ne contredira pas son président exécutif. Pour lui aussi, en matière de sécurité, il faut adopter une approche de type «Big Data» : «nous collectons des données de sources multiples - anti-virus, logs de pare-feu, d’IDS, d’IPS, etc. - mais qui restent en silos. Toute cette information doit être disponible pour tout le monde, à tout moment. Et il faut y ajouter des informations sur des paquets de données complets, des données provenant de sources ouvertes [...] pour mesurer effectivement le niveau de la menace.» Et d’ajouter à cela que les données de ces sources multiples «sont dans des formats différents; elles ont besoin d’être normalisées. Aujourd’hui, c’est mélanger des pommes et des oranges ».
Bref, pour Eddie Schwartz, «il faut construire une structure de données et commencer à déployer différents composants de décisionnel pour en arriver à la security intelligence ». Et, accessoirement, cela ne fera qu’accentuer les tensions pour le recrutement de data scientists déjà de plus en plus demandés dans le décisionnel classique, comme le relevait récemment Stephen Brobst, directeur technique de Teradata. Hugh Njemanze, co-fondateur d’ArcSight, ne le contredirait pas. Interrogé lors des Assises de la Sécurité, qui se tenaient début octobre à Monaco, il le reconnaît bien volontiers : «l’analyse et l’identification de schémas comportementaux en sécurité, c’est comme dans le marketing ! On parle là l’algorithmes personnalisés qui cherchent des événements.»
Quand le SIEM se rapproche du décisionnel
Le moteur de corrélation CORR-Engine d’ArcSight Express, illustre bien cette tendance. Récemment lancée dans sa version 3.0, l’appliance de gestion des informations des incidents de sécurité (SIEM) de HP s’appuie bien évidemment sur un système de gestion de bases de données. Alexandre Depret-Bixio, responsable des ventes ArcSight pour la France, explique que son moteur analytique Logger s’appuie sur une base données «propriétaire qui fonctionne par indexation pour gagner en performances.
Pour la corrélation, on a historiquement travaillé avec Oracle, la plus performante pour l’analytique et la mise en oeuvre de scénarios de corrélation ». Hugh Njemanze, va plus loin : «nous avons commencé avec Oracle. Puis nous avons passé 10 ans à affiner cette base. Au cours de cette période, nous avons cherché des alternatives.» Et, sous la pression d’un marché en «pleine progression» et de la multiplication des «modèles de corrélation à appliquer», il a fallu «optimiser et améliorer les performances », explique Alexandre Depret-Bixio. C’est ainsi qu’ArcSight a été amené à «porter notre savoir-faire acquis avec Logger sur le moteur analytique de corrélation. Cette nouvelle base de données s’appelle CORR-Engine ». Proposant les mêmes fonctionnalités que la mouture précédente, ce moteur de corrélation serait capable, selon HP, de traiter 2,5 fois plus d’événements par seconde, de fournir des réponses à une requête de corrélation 5 fois plus vite et de diviser par 20 les coûts de stockage. .
..avant des transferts technologiques
Après le rachat de Vertica par HP, ArcSight aurait-il intérêt à chercher les transferts de technologies ? Alexandre Depret-Bixio ne ferme pas la porte : «ils ont une base de données ulta-performante. Et, oui, on peut imaginer des portages avec ce type de base de données, ou encore de type GreenPlum.» Toutefois, plus que la vision en quasi temps réel sur l’infrastructure, pour lui, le SIEM vise la traçabilité, l’analyse post-mortem. Du moins est-il ainsi appréhendé par le marché : «le marché n’est pas encore prêt pour un portage de Vertica sur un SIEM. Mais c’est techniquement possible et c’est probablement l’avenir.»
D’ailleurs, il note un changement dans la perception du marché : «les entreprises prennent conscience du besoin de changer leur approche de la sécurité, de l’aborder par les métiers, par le gestion du risque.» D’ailleurs, il «propose un module SAP pour faire du SIEM applicatif sur les transactions au sein de SAP. Nous sommes capables d’analyser la conformité des comportements avec les processus dans une structure applicative comme SAP ». Toutefois, Hugh Njemanze reconnaît avoir étudié Vertica comme moteur de base de données alternatif, «par le passé. Mais il y avait quelques incompatibilités. C’est pour cela que nous avons du construire quelque chose de dédié à nos besoins ». Au final, pour lui, «CORR-Engine est quelque chose qui n’a pas d’équivalent, aujourd’hui, sur le marché ».
Art Coviello, RSA : «nos besoins de sécurité ont changé»
Intervenant en ouverture de la conférence RSA, qui se déroule cette semaine à San Francisco, Art Coviello, président exécutif de RSA, le division sécurité d’EMC, a tenu à lancer un appel appuyé à l’action et au changement des mentalités. C’est sur une version revisitée de «You can’t always get what you want», des Rolling Stones, que s’est ouverte l’édition 2012 de la conférence RSA. Une métaphore, sur le thème de la sécurité informatique, qui a servi de fil conducteur à l’intervention d’Art Coviello, président exécutif de RSA, pour évoquer les efforts de la communauté de la sécurité dans la lutte contre l’insécurité informatique. «Beaucoup de gens voudraient vivre dans un monde débarrassé du risque », a-t-il relevé avant d’assurer que «l’on peut pas toujours avoir ce que l’on veut ».
Dès lors, garantir une informatique dépourvue de toute forme de risque relève du fantasme. Pour autant, réduire le risque est possible et... «si vous essayez, vous trouverez peut-être ce dont vous avez besoin». Dès lors, pour Art Coviello, l’industrie de la sécurité informatique n’a plutôt pas trop mal réussi jusqu’ici : «nous avons réussi à rendre Internet suffisamment sûr pour qu’il transforme le monde. Et il a transformé le monde.» Mais se contenter de cela, semblait-il dire, serait comme rester tourné vers le passé, car «nos besoins ont changé» avec l’émergence de nouvelles menaces. Mais aussi de nouveaux utilisateurs. À moins que ce ne soit simplement l’accélération de l’adoption des technologies de l’informatique, «trop rapide pour que les gouvernements puissent suivre », avec toutes les implications que cela peut avoir. Et de prendre l’exemple du printemps arabe et du rôle qu’y ont joué les réseaux sociaux, ou encore la téléphonie mobile.
Au final, pour Art Coviello, nos sociétés «ont dépassé le point où l’on pouvait encore séparer le monde physique du monde virtuel, la vie personnelle de la vie professionnelle ». Et d’appeler les organisations informatiques des entreprises à s’adapter et à apprendre «à sécuriser ce qu’elles ne peuvent pas contrôler ». Pour le président exécutif de RSA, l’industrie entière de la sécurité informatique est confrontée à un défi tel qu’elle n’en a jamais connu. «Et le risque d’échouer est grand », reconnaît-il, d’autant que «l’approche actuelle de la sécurité est inadéquate ». Reprenant un air déjà entendu dans la bouche d’autres acteurs de la sécurité informatique, Art Coviello a alors appelé l’audience à «dépasser la pensée linéaire, la logique de protection périmétique et basée sur des signatures [...] Nous devons accepter l’idée que nos réseaux seront infiltrés [...] que la protection totale est impossible [...] mais cela ne pas dire qu’il faille considérer que les pertes de données sont inévitables ».
C’est donc de protection en profondeur dont il est question. Mais pas seulement : «nos adversaires profitent de la rapidité d’Internet, nous devons en faire autant et utiliser l’intelligence que recèle Internet à notre avantage.» Sécurité en profondeur, donc, mais matinée d’analytique Big Data, pour permettre de détecter les signaux faibles qui trahissent une attaque. La difficulté ? Art Coviello l’illustre en s’appuyant sur les chiffres du dernier rapport de Verizon Business sur les intrusions : «91 % des incidents conduisent à une compromission en l’espace de quelques jours» tandis que «79 % d’entre eux ne sont découverts qu’au bout de semaines ». La course ne semble pas tout à fait gagnée.
Pour le président exécutif de RSA, il faut donc constituer des systèmes basés sur l’analyse des risques avec une importante granularité : l’important n’est pas de tout surveiller mais de se concentrer sur ce qui a la plus grande probabilité d’être attaqué, ce qui est le plus vulnérable, et ce qui est susceptible d’avoir le plus de valeur aux yeux des attaquants. Et il faut encore déployer des outils capables d’identifier les comportements anormaux en temps réel : «ces produits existent, nous devons en accélérer l’adoption.» Mais également multiplier les sources d’informations, systématiser et formaliser les échanges de renseignements. Pour Art Coviello, c’est donc à l’échelle d’une communauté, soudée, que le combat doit être mené.
Sourcefire déporte la détection du code malveillant
Le créateur du célèbre IDS Open Source Snort vient de présenter FireAMP, sa solution de protection des postes de travail à la sauce Cloud fondée sur la technologie d’Immunet, rachetée en janvier 2011. Une solution qui se veut complémentaire d’outils tiers en proposant de puissantes capacités d’analyse. Il y a tout juste un peu plus d’un an, Sourcefire annonçait le rachat de la start-up Immunet, pour 21 M$.
Le spécialiste de l’IDS indiquait alors, dans un communiqué, vouloir muscler son offre Cloud. Il souhaitait également la compléter par une solution de protection contre les logiciels malveillants basée sur un moteur déporté d’analyse des menaces visant les postes de travail. Promesse concrétisée aujourd’hui avec FireAMP, une solution basée sur la technologie d’Immunet, rebaptisée au passage FireCloud.
Le concept est simple : il s’agit de faire profiter au plus vite chaque poste client de toute nouvelle information (alors remontée par d’autres) sur d’éventuelles menaces - connues ou nouvelles, afin de bloquer les attaques non détectées par les autres dispositifs de sécurité. De fait, FireAMP ne vise pas à remplacer la pile complète de gestion de la sécurité du poste de travail, ni même véritablement un antivirus conventionnel. Il procède à la protection dynamique contre les menaces sans faire d’analyse locale de signatures : lorsqu’il repère un comportement suspect, il en remonte une signature au Cloud de Sourcefire qui se charge de l’analyse avant de répondre par un simple go/no go - pouvant alors déboucher sur un blocage.
On flirte là avec l’analytique Big Data, centralisée et mise au service de la sécurité. Derrière FireCloud, il y aurait d’ailleurs de l’Hadoop et du NoSQL déployés notamment sur Amazon, le tout assaisonné d’une pincée de ClamAV. Mais c’est peut-être encore plus pour ses capacités d’analyse d’infection que de détection que FireAMP est susceptible de séduire.
Ainsi, sont également suivis les mouvements des données dans l’entreprise, pour remonter le circuit d’une infection éventuelle, jusqu’au patient zéro. Une détection avérée de logiciel malveillant - selon des règles cette fois-ci définies par le client selon son contexte - peut déclencher le blocage généralisé des capacités d’action. Une console de supervision propre à l’entreprise cliente lui permet en outre d’analyser l’activité suspecte sur son infrastructure et de la comparer à des statistiques tirées d’autres entreprises clientes. Et de remonter dans le temps pour mettre à jour des menaces qui seraient passées jusque là inaperçues. Cyrille Badeau, directeur Europe du Sud de Sourcefire, assure que les volumes de données échangés sont finalement très limités et que l’agent ne consomme que très peu de ressources sur le poste client.
Surtout, lors de tests, FireAMP serait parvenu à détecter des logiciels malveillants là où des antivirus classiques auraient échoué. L’histoire ne dit pas si Sourcefire a joué avec des échantillons de Stuxnet ou de Duqu. FireAMP se présente concrètement sur la forme d’un agent résident léger à installer directement sur le poste de travail Windows - ou au sein de la machine virtuelle correspondante pour un environnement virtualisé. La solution est facturée 34 $ par poste et par an.