James Thew - Fotolia
Quand les technologies Big Data menacent le SIEM
I-Tracing construit pour ses clients une offre de supervision de la sécurité basée des technologies Big Data. Il prévoit de l’utiliser pour remplacer progressivement ses outils traditionnels de gestion des informations et des événements de sécurité.
I-Tracing s’apprête à basculer entièrement, fin février, un premier client de ses services de supervision de la sécurité sur son infrastructure Big Data, au lieu du système de gestion des informations et des événements de sécurité (SIEM) utilisé jusque là.
Mais ce n’est donc qu’une première étape d’une orientation stratégique plus vaste. Car les avantages du Big Data par rapport aux SIEM traditionnels sont considérables, tant pour I-Tracing que pour ses clients.
C’est la conjonction de deux facteurs qui a conduit le prestataire de services français à prendre ce tournant. Il y a tout d’abord le virage vers un modèle qui tend à se généraliser et dans lequel « il n’y a plus de SIEM déployé chez le client qui se contente d’envoyer ses logs à son prestataire », explique Laurent Besset, directeur associé d’I-Tracing. Ce dernier gagne alors en souplesse dans le choix de ses outils.
Michel Vujicic, également associé et responsable de l’intégration et du développement chez I-Tracing, souligne de son côté qu’en fait, « la plupart des projets Big Data portent sur des logs. Et l’analyse de logs, leur valorisation, c’est notre métier depuis 10 ans, dans une perspective de sécurité ».
I-Tracing a été amené à se pencher sur la sécurité d’infrastructures Big Data déployées par ses clients, jusqu’à en mettre en place une en interne à titre expérimental, pour par exemple simuler des scénarios de détection d’incident ou de fraudes. Mais voilà, explique Michel Vujicic, « la plateforme expérimentale est devenue de plus en plus une plateforme de production en complément, voire en remplacement de solutions SIEM des éditeurs du marché ». Car les résultats obtenus ont largement comblé les attentes.
Dépasser les limites du SIEM
Et en particulier pour aller au-delà de ce que permettent généralement les SIEM. Laurent Besset souligne ainsi que ceux-ci ont souvent « des difficultés à gérer des temps très longs en corrélation ». Opérer des corrélations sur la dernière heure n’est pas un problème, « mais certains clients veulent voir ce qui se passe sur la journée, la semaine, le mois, ou l’année. Et plus on dépasse l’heure, plus le SIEM est mis en difficulté ».
Et de ce n’est pas tout : « le croisement avec de très gros référentiels d’entreprise peut également mettre en difficulté le SIEM traditionnel. Ce sont par exemple des scénarios dans lesquels on essaie de croiser des logs ou d’autres types de données comme le trafic réseau avec le plan d’adressage. Ajouter des listes référentielles à plat, un SIEM sait faire. Mais plus le référentiel est complexe ou la liste est longue, plus les performances se dégradent ».
Jusqu’à rendre matériellement impossibles certaines analyses… « alors même que ce sont des scénarios sur lesquels ils n’est pas nécessaire du faire du temps réel » dont on pourrait s’attendre à ce qu’il soit le plus exigeant. A l’inverse, « certaines choses, y compris possibles à lancer avec un SIEM, se sont avérées beaucoup plus rapides avec le Big Data ». D’autres, trop complexes à réalisées avec un SIEM, peuvent être effectuées simplement avec le nouvel environnement. En résumé, pour Michel Vujicic, « aujourd’hui, il n’y a pas de limite fonctionnelle ni technique aux analyses et aux traitements que l’on peut vouloir lancer ».
Profiter d’une infrastructure flexible
La plateforme Big Data déployée par I-Tracing s’appuie sur une distribution Hadoop HortonWorks, assortie de « batchs et micro-batchs en MapReduce pour la fourniture des statistiques », explique Michel Vujicic. A cela s’ajoute, en amont, des couches Flume pour l’intégration des logs. L’ensemble est complété par « une brique d’indexation ElasticSearch, qui est en train de grossir », et mais aussi Kibana pour la partie recherche, indispensable aux analystes.
Un moteur de corrélation temps réel Open Source est également utilisé, pour la génération des alertes, mais il pourrait être remplacé, à terme, par le couple Storm/Kafka.
La partie manquante dans l’environnement Big Data, au final, est à chercher du côté de la production de tableaux de bords. Mais là, I-Tracing est aidé par son historique. Car si les SIEM modernes sont dotés de fonctions de reporting agréables et flexibles, « historiquement, les SIEM étaient très pauvres en matière de visualisation », se souvient Laurent Besset.
Dès lors, I-Tracing a été contraint, très tôt, à développer ses propres interfaces de visualisation et de reporting pour ses clients : « elles étaient largement mûres lorsqu’on s’est posé la question de les alimenter à partir de notre plateforme Big Data ».
Souplesse et indépendance
Pour les clients d’I-Tracing, cette souplesse et cette puissance nouvelles se traduisent pas la possibilité d’en demander plus en matière de personnalisation de la politique de surveillance et des alertes. Car en définitive, relève Laurent Besset, « s’il en a le temps et qu’il dispose des logs nécessaires, il n’y a pas de limite pour l’analyste dans les recherches qu’il peut conduire ».
En outre, I-Tracing peut répondre aux demandes de ses clients en matière d’évolution tarifaire suivant l’extension du périmètre couvert sans dépendre de la politique tarifaire d’un éditeur SIEM. Une indépendance qui lui évitera à l’avenir des « difficultés » qui ont eu être rencontrées, par le passé, avec certains.
Et accessoirement, le prestataire de service disposer désormais du savoir-faire et de l’outillage nécessaire pour accompagner des clients dans l’utilisation de leur propre plateforme Big Data existante dans le cadre du recours à ses services de surveillance de la sécurité.