Foto-Ruhrgebiet - stock.adobe.co
Cybersécurité : QuoLab veut accélérer le travail des analystes
La jeune pousse de Francfort a développé sa propre plateforme d’investigation sur les incidents de sécurité, en intégrant le renseignement sur les menaces, et en réponse à ses propres besoins.
C’est en 2016 que Fabien Dombard a fondé avec Ioannis Bizimis, QuoScient, à Francfort. Tous deux sortaient du service de sécurité informatique de Deutsche Bank. Le premier y a piloté les activités de recherche et de réponse aux maliciels, quand le second assurait le support financier des équipes de SSI.
Lors d’un échange avec la rédaction, Fabien Dombard explique leurs ambitions initiales : « développer la plateforme que l’on cherchait lorsque l’on intervenait pour des grands comptes, et que l’on n’arrivait pas à trouver sur le marché ». Pour lui, la plupart des outils se heurtent à un problème : « trop de données à analyser, et pas assez de ressources », ou encore des capacités de partage et de répartition du travail entre équipes fortement distribuées à travers le monde, mais également entre groupes d’intérêt, potentiellement sectoriels.
Fabien Dombard et Ioannis Bizimis cherchaient donc une plateforme « qui nous permette de faire de la fusion de données à grande échelle, sur un système distribué, entre différentes régions, tout en tenant des cadres réglementaires spécifiques à chacune ».
Cette plateforme, baptisée QuoLab, permet donc « de consolider un grand nombre d’informations, externes – flux de renseignement sur les menaces, flux RSS, etc. – comme internes – Splunk, LogPoint, système de gestion de traces d’activités, de gestion d’actifs, etc. – en un endroit unique » qui combine analyse Big Data et une dimension de réseau social d’entreprise.
Et de faire le parallèle avec une timeline Twitter alimentée par les contrôles de sécurité, les sources d’information, les équipes internes, etc. mais « adaptée au rôle dans l’organisation ».
L’ensemble est pensé pour accélérer l’analyse et l’investigation au sein d’un environnement intégré : « celui qui suit là son système de gestion des informations et des événements de sécurité (SIEM), voit en priorité les alertes générées qui sont corrélées par renseignement sur les menaces à disposition ».
Il y a donc là déjà une forme de pré-triage et de pré-hiérarchisation en fonction de la quantité disponible d’informations. Et il n’est pas fait de manière aléatoire : des mécanismes d’analyse sont à l’œuvre en coulisse pour affecter un niveau de confiance aux informations et établir des similarités, afin de pouvoir construire des graphs de relations.
De quoi aussi « détecter les points communs entre cas d’investigation distincts », ou encore aider à raccrocher un maliciel vu par le passé, lorsqu’un tiers présente publiquement des indicateurs s’y rapportant. Et cela automatiquement, avec des règles de recherche programmées intégrant la collecte d’indicateurs y compris dans des PDF.
L’ensemble, à commencer par la multiplicité des intégrations (par exemple pour solliciter des outils et services comme Shodan, VMRay, Lastline, ou DomainTools) ne va pas sans rappeler TheHive et les analyseurs de Cortex. Cela vaut aussi pour la possibilité d’interconnecter des nœuds en externe d’un périmètre de confiance (par exemple, pour collecter des données publiques) avec des nœuds en interne, afin de corréler ces données dans l’analyse de données d’incidents qui n’ont pas vocation à être partagées.
Cependant Fabien Dombard revendique des différences d’architecture, à commencer par le recours à un « modèle de graph distribué à travers plusieurs nœuds » et non pas une base de données de graph.