Sergey Nivens - Fotolia
Cybersécurité : McAfee mise sur le partage et l’automatisation
Intel Security travaille avec un groupe restreint de clients pour développer des systèmes combinant humain et machine pour retirer le meilleur des deux mondes et l’appliquer à la lutte contre les menaces informatiques.
Intel Security, qui doit bientôt retrouver son indépendance et son identité initiale, cherche à pousser humain et machine à faire équipe dans la protection des infrastructures informatiques.
L’approche vise à combiner les méthodes d’investigation et la vision stratégique de l’humain avec les capacités techniques des machines pour gérer les données de renseignement sur la sécurité à grande échelle et faire émerger les problèmes les plus significatifs.
Pour Chris Young, directeur général d’Intel Security, les infrastructures IT des entreprises changent dans des proportions encore inimaginables : « c’est pourquoi nous traçons la voie de solutions intégrées vers des solutions automatisées et, au final, orchestrées, qui touchent des systèmes multiples ». Un chemin qui s’avère, par contrainte, de plus en plus attractif.
Dans le cadre de cette stratégie, celui qui s’appellera de nouveau McAfee prochainement travaille à doter ses clients d’outils analytiques modernisés permettant justement d’associer humain et machine.
De son côté, Brian Dye, vice-président corporate d’Intel et directeur général d’Intel Security en charge des produits d’entreprise, explique que « nous sentons qu’il est essentiel [d’avancer sur l’association de l’homme et de la machine] pour apporter la prochaine génération d’automatisation, ainsi que quelque chose de supporté par plus d’analytique. Plus il y aura d’analytique, plus il y aura d’automatisation », et vice-versa.
Une tendance de fond
Comme d’autres, Intel Security travaille donc à atteindre à un nouveau niveau d’intégration de produits, pour automatiser des workflows et même orchestrer le fonctionnement de produits de sécurité : « l’association de l’humain et de la machine vise à créer un système expert qui assimile la connaissance – et dans ce cas, celle d’une personne répondant à un incident avancée – et nous permet de trouver plus qu’une telle personne pourrait trouver, ou à tout le moins plus rapidement ».
Ce besoin est motivé tant par la multiplication rapide des menaces que par le manque de ressources qualifiées : « nous devons répondre à ce déficit de compétences par plus d’automatisation pour éliminer l’effort manuel, attirer plus de personnes, et améliorer la formation ». Et cela passe notamment par « des interfaces utilisateur plus simples qui permettent à des profils junior de s’impliquer dans la sécurité » et permettre « aux experts de faire plus ».
La tendance dans laquelle s’inscrit là Intel Security est aujourd’hui bien connue. Une étude réalisée par ESG pour Hexadite a d’ailleurs récemment souligné la manière dont l’automatisation et l’orchestration s’imposent dans la réponse aux incidents. De nombreux experts estiment d’ailleurs aujourd’hui que l’intelligence artificielle a toute sa place dans la sécurité informatique, même si beaucoup privilégient l’approche de supervisée, impliquant l’humain, à l’approche non supervisée, retenue notamment par SecBI. McAfee souligne d’ailleurs lui-même recourir à des techniques d’apprentissage automatique depuis de nombreuses années, pour la classification de logiciels malveillants, mais également le filtrage des pourriels ou encore la protection des accès Web.
D’importants efforts à fournir
Mais pour répondre aux besoins des analystes dans ces centres opérationnels de sécurité, McAfee travaille au lancement de la nouvelle version de son système de gestion des informations et des événements de sécurité (SIEM), baptisé ESM, et promis pour la fin de l’année. Les attentes à son sujet portent notamment sur son interface utilisateur, mais pas uniquement.
Début août, Gartner soulignait ainsi de nombreuses faiblesses de l’offre SIEM d’Intel Security, lancée début 2012 par McAfee, en s’appuyant sur le rachat précédent de NitroSecurity. Certes, ESM profite de capacités de gestion de renseignements sur les menaces du Threat Intelligence Exchange (TIE), lancé à l’automne 2014, ou encore de l’intégration avec la technologie ATD qui permet une décompilation et une analyse des appels faits par une applications suspecte ou pour laquelle l’information de réputation n’est pas disponible.
Mais pour Gartner, si les capacités de workflow sont robustes, celles d’intégration sont plus limitées : « l’intégration out-of-the-box n’est disponible que pour Remedy. Le support d’autres produits de workflow est limité à l’e-mail ou suppose des développements avec les API d’ESM ». En outre, alors que stabilité et performances apparaissaient déjà comme des points noirs en 2015, c’est encore le cas selon les clients ayant témoigné auprès du cabinet d’analystes. Ceux-ci soulignaient aussi un « manque de satisfaction avec le support technique ». Et selon Gartner, « les discussions de clients au sujet du remplacement ont augmenté ». En somme, McAfee se doit de séduire avec le lancement prochain d’ESM 10.
Et si l’éditeur ne propose pas lui-même de solution d’analyse comportementale (UEBA), ESM doit pouvoir s’intégrer avec celles d’Exabeam, de Fortscale, de Gurucul, d’Interset, de Niara ou encore de Securonix (retenu par HPE pour ArcSight, lequel doit passer prochainement sous pavillon Micro Focus).
Une approche complète
La stratégie d’Intel Security dépasse toutefois la seule question du SIEM et des opérations de sécurité. L’éditeur a ainsi profité de sa grand messe annuelle, Focus, pour souligner la manière dont s’articulent les différents composants de son approche, trois autres piliers.
Le premier touche au point de terminaison, avec Endpoint Security (ENS) 10.5, dont le programme beta s’achève ce vendredi 11 novembre. ENS 10.5 se distingue notamment par des capacités de confinement applicatif dynamique à la granularité élevée, circonscrit à une instance d’une même application. Mais l’outil embarque également Real Protect, un module de détection des menaces inédites basé sur l’apprentissage automatique non supervisé ou encore l’intégration avec le service Cloud de passerelle Web de McAfee.
Le second concerne la protection des données en continu, entre prévention des fuites de données (DLP), mais également sécurisation des accès à des services Cloud (CASB) – même si Gartner n’identifie pas Intel Security comme acteur représentatif sur ce marché.
Le troisième pilier concerne la sécurisation des infrastructures de centre de calcul et de cloud. McAfee travaille de longue date à la sécurisation des infrastructures virtualisées. Dès 2011, il avait annoncé dans ce sens sa technologie DeepSafe. Mais en juin 2015, VMware s’était associé à McAfee pour virtualiser l’IPS et améliorer la visibilité sur le trafic réseau dans les environnements NSX.
Intelligence partagée et ouverture
Outre l’automatisation et de l’orchestration, McAfee mise sur la communication sur les menaces entre les différentes briques de son offre. Mais l’efficacité dépendant du nombre d’observateurs de ces menaces, McAfee mise depuis plus de deux ans sur le partage de renseignements sur les menaces avec d’autres acteurs de l’industrie de la sécurité informatique. En septembre 2014, il a ainsi rejoint Fortinet et Palo Alto au sein de la Cyber Threat Alliance, créée quelques mois plus tôt.
Et de proposer au passage sa propre technologie d’échange de renseignements, DXL ou Data Exchange Layer, mise à profit notamment dans ses produits connectés à son service Threat Intelligence Exchange, lancé un mois plus tard.
DXL n’était ouvert jusqu’ici qu’à quelques partenaires dont Brocade, ForcePoint, Proofpoint, Rapid7, ou encore TrapX. MobileIron. Check Point et Huawei, notamment, viennent de les rejoindre. Mais c’est désormais à tous, au sein de l’industrie, que McAfee propose d’utiliser DXL « pour partager du renseignement sur les menaces en temps réel entre différents produits de l’infrastructure », explique Chris Young. Un kit de développement DXL est ainsi désormais disponible en version beta.
Avec nos confrères de ComputerWeekly (groupe TechTarget).
