Balabit détectera bientôt ce que les firewalls ne savent pas voir

Le fabricant de boîtiers de sécurité hongrois Balabit, concurrent direct du français Wallix, en est certain : les nouvelles fonctions de sécurité contextuelle de sa prochaine solution vont lui ouvrir les portes du marché américain. Et, par là même, faire de lui une locomotive de la sécurité des réseaux informatiques à l’international. « Les autres acteurs de la sécurité sont dans une impasse. Pour prévenir les attaques, ils se bornent à filtrer les accès à différents endroits du réseau. Mais cela n’a plus aucun sens dès lors que les réseaux des entreprises s’étendent dans le cloud. Nous pensons que la seule solution efficace sera de multiplier les points de monitoring de l’activité. Et nous serons les premiers à savoir quoi surveiller », lance Zoltan Gyorko, le PDG de Balabit.

Juste avant, il expliq

L'appliance eCSI de balabit

uait au MagIT.fr avoir décroché un investissement de 8 millions de dollars de la part du fonds britannique C5 Capital. Une somme qui doit lui servir à ouvrir une antenne dans la Silicon Valley. « L’Europe est un vivier d’entreprises si pointues en Open source qu’elles peuvent adresser les besoins de très grands comptes. Mais nous n’exporterons pas nos produits en dehors du continent tant que nous n’aurons pas de présence américaine », dit le PDG. Et de citer l’exemple d’eNovance, l’éditeur français devenu No2 mondial sur les déploiements OpenStack depuis qu’il a ouvert un bureau outre-Atlantique. En France, les produits de Balabit sont distribués par Nomios et les clients comprennent la Société Générale, Air France ou encore Orange. Les deux autres principaux marchés du fabricant sont l’Allemagne et la Russie.

eCSI cumulera SCB et SSB

Les nouvelles fonctions de sécurité contextuelles de Balabit s’incarneront dans un boîtier, physique ou virtuel, pour l’heure connu sous le nom de projet eCSI (electronic Context of Security Intelligence). Il devrait s’agir d’un amalgame des deux solutions actuelles proposées par Balabit : la Shell Control Box (SCB) et la Syslog-ng Store Box (SSB).

Placée sur un réseau, la Shell Control Box identifie, enregistre, voire bloque les protocoles administrateurs qui passent. A l’instar de l’AdminBastion de Wallix (boîtier WAB), elle sert à détecter toutes les opérations frauduleuses des administrateurs à privilège. Dotée d’une capacité de stockage de 1 ou 10 To, elle permet de rejouer les commandes tapées au clavier (SSH, Telnet, HTTP), comme les sessions graphiques (Windows RDP, VMware View, VNC, X11 et, dans la prochaine version, Citrix ICA). « Les attaques contre le réseau d’une entreprise sont majoritairement le fait d’un individu qui accède à des données avec des droits administrateurs. Il ne s’agit pas forcément de hacking, il peut s’agir d’un informaticien qui lit les e-mails des utilisateurs et tombe sur une information confidentielle, comme un prochain plan de licenciement », détaille Marton Illès, le directeur technique de Balabit. Selon lui, multiplier les verrous, comme on le fait généralement avec des firewalls et IPS, va globalement empêcher les utilisateurs d’accéder à certaines fonctions du SI. « Nous mettons plutôt en place un système de règles qui interdit une action - ou alerte un responsable - selon le profil de l’utilisateur », explique-t-il.

Encore faut-il savoir qui sont vraiment ces utilisateurs, lesquels pourraient s’authentifier avec un compte dérobé à quelqu’un d’autre. C’est là qu’interviennent les fonctions de la Syslog-ng Store Box. Logiciel Open source conçu par Balabit pour remplacer la fonction Syslog des systèmes Linux et Unix, Syslog-ng récupère tous les messages logs d’un serveur (du texte difficilement lisible) et les reformate sous formes de tableaux plus faciles à consulter et, surtout, analysables par un moteur externe de type SIEM (Security information management system). Le boîtier Syslog-ng Store Box sert quant à lui à agglomérer en un seul point tous les fichiers produits par chaque agent Syslog-ng et, dans une prochaine version, ceux produits sur des serveurs Windows. « C’est en croisant les informations de la SCB et de la SSB que nous serons capables de voir ce qui manque, c’est-à-dire qui fait vraiment quoi », s’enflamme Péter Gyöngyösi, le directeur des produits chez Balabit !

Pas avant 2015

Conçus à partir de machines Supermicro fonctionnant sous Ubuntu, les boîtiers de Balabit se déclinent en machines virtuelles directement intégrables dans un cloud privé ou public de type vSphere. Le prix de chaque solution est calculé selon le nombre de serveurs ou d’événements par seconde à surveiller. L’achat moyen s’élève ainsi à 40 000 €, soit la surveillance de 40 serveurs ou de 7000 événements par seconde. Comparativement aux boitiers de Wallix, ceux de Balabit sont plus transparents : à aucun moment, l’utilisateur ne sait qu’il sous surveillance.

Les prochaines versions, prévues d’ici à la rentrée, seront compatibles avec les clouds basés sur Hyper-V, Xen et KVM. En revanche, Balabit reconnaît ne pas savoir proposer de solutions pour les réseaux privés hébergés dans le cloud public AWS d’Amazon. Pour le moment, du moins. Par ailleurs, Balabit ne dispose pas encore à son catalogue de fonctions SIEM ; le fabricant propose à ses clients de passer par un outil externe, tel Trustwave SIEM. Il n’est pas certain que Balabit propose sa propre solution dans les premières versions d’eCSI, prévues pour début 2015.

La grande inconnue, surtout, est de savoir si Balabit pourra étendre son marché à l’international sans que ses nouveaux investisseurs exigent le remplacement des joyeux ingénieurs Open source qui le dirigent aujourd’hui.