La suite Elastic, toujours plus populaire pour la sécurité informatique

Supporter de vastes volumes de données diversifiées

Ce n’est pas un cas isolé. Bahaaldine Azarmi explique que les utilisations de la pile ELK pour l’analytique de sécurité ne sont pas rares. Et il y a une bonne raison à cela : « toutes ces solutions [de SIEM] ont un problème de passage à l’échelle. On ne peut pas forcément y mettre autant de données que dans Elasticsearch. Elles peuvent aussi avoir un problème de variété de la donnée. Souvent, dans un projet de SIEM, on réduit le périmètre à certaines sources de données. Par exemple, dans le réseau, beaucoup de nos clients ne peuvent ingérer que TCP ». Et c’est sans compter le coût de solutions fréquemment facturées selon le volume de données ingérées.

Le recours au SIEM pour la seule collecte de données peut paraître réducteur alors que les éditeurs de ces solutions n’ont eu de cesse d’en étendre le périmètre fonctionnel, à commencer justement par ArcSight avec son module d’analyse comportementale (UEBA) basé sur la technologie de Securonix. Mais il simplifie l’intégration initiale. Au-delà, le recours à ELK permet d’étendre les efforts de corrélation à des sources de données (ou à des volumes de données) non accessibles via un SIEM.

Et Bahaaldine Azarmi d’illustrer : « dans une exfiltration de données, il y a plusieurs étapes ». Parmi elles, potentiellement, compromission de compte utilisateur, accès via des adresses IP ou à des plages horaires inhabituelles… « Avec ArcSight seul, ça va être compliqué d’intégrer les données qui vont permettre de retracer le cheminement ». A l’inverse, avec un éventail de journaux d’activité étendu, comme il est possible de le gérer avec la suite Elastic, « on est capable de faire ces corrélations, et notamment avec apprentissage automatique ».

Une approche de SIEM augmenté

Pour les éditeurs de SIEM ayant cherché à doter leur offre de capacités de Machine Learning pour accélérer la découverte d’anomalies et, potentiellement, de menaces, ça ne ressemble en tout cas pas à une bonne nouvelle.

Car là, le module X-Pack dédié d’Elastic apparaît bien mieux placé, profitant d’une visibilité étendue sur l’infrastructure, en temps réel. Toutefois, relève Bahaaldine Azarmi, le SIEM est lui-même capable d’identifier des schémas dans les données qu’il ingère, mâchant déjà quelque peu le travail. Dès lors, lorsque le SIEM est déjà présent, « Elastic est utilisé en couche de rendu de la donnée, et c’est là sa valeur ajoutée ». Ce qui permet aussi de démarrer plus vite. Du coup, le SIEM n’est pas forcément abandonné : « on voit des intégrations avec IBM QRadar, RSA, Splunk, AlienVault, etc. »

Pour autant, certains projets se font sans système de gestion des informations et des événements de sécurité, en véritablement remplacement : « on le voit aussi, mais plus aux Etats-Unis », notamment lorsque « le SIEM ne peut plus tenir face au volume ». En France, I-Tracing nous confiait, début 2016, suivre cette voie.

Mais par rapport à la concurrence, ArcSight a un atout dans sa manche, que relève Bahaaldine Azarmi : il est taillé pour pouvoir supporter d’importants volumes de données. De fait, depuis l’automne 2016, la plateforme de collecte d’événements de sécurité d’ArcSight, dans sa version 2.0, profite de la mise en œuvre du courtier Kafka. Lors de l’annonce, HP revendiquait la capacité d’ingérer jusqu’à un million d’événements par seconde.