Amazon continue de renforcer les services de sécurité associés à AWS

L’annonce était attendue depuis la fin du mois de décembre : Amazon allait s’offrir Sqrrl. Mark Terenzoni vient de rendre l’information publique sur la page d’accueil du site Web de la jeune pousse, mais question, pour l’heure, de fournir le moindre détail. Pour autant, l’acquisition est loin de manquer d’intérêt.

Fondé en 2013 par des anciens de la NSA, Sqrrl a levé depuis sa création plus de 26 M$. Sa spécialiste ? Aider les analystes à enquêter sur les menaces observées dans leur environnement en s’appuyant sur de vaste de volumes de données et se concentrant notamment sur les liens susceptibles de connecter des observables les uns aux autres. Et cela via une interface graphique taillée sur mesure.

Au printemps 2015, notre confrère Robert Richardson, de SearchSecurity.com, s’était penché sur la technologie utilisée par Sqrrl. Son socle n’était en fait autre qu’Accumulo, développé par l’agence américaine du renseignement pour ses propres besoins de gestion de vastes volumes de données interceptées dans le cadre de programmes dévoilées par Edward Snowden.

En 2011, la NSA versé Accumulo à l’open source. Et celui-ci trouve ses racines dans le projet BigTable de Google, qui a fortement contribué à l’émergence des bases de données NoSQL. Il utilise le système de fichiers distribué d’Hadoop pour permettre le traitement d’importants volumes de volumes de données.

Pour organiser et traitement un an de données de journaux d’activité de toutes sortes, Sqrrl a choisi de se concentrer sur la visualisation de liens. La jeune pousse a d’ailleurs récemment obtenu un brevet sur la modélisation de relations entre entités avec liens par provenance « pour améliorer la navigation visuelle dans des jeux de données ».

La démarche ne va pas là sans rappeler d’autres outils susceptibles d’aider à l’étude d’observables dans le cadre d’enquêtes sur des menaces. Et l’on pense en particulier au graph que Virus Total a récemment rendu accessible au public, mais également aux capacités de visualisation des projets MISP et Yeti. Samuel Alonso, analyste sénior chez KPMG, s’était longuement penché sur Sqrrl au printemps dernier, produisant une prise en main très éclairante.

Pour l’heure, Amazon n’a pas indiqué s’il entendait utiliser Sqrrl pour ses besoins internes ou pour le mettre à disposition de ses clients, au moins en partie. Mais le spécialiste des infrastructures Cloud n’en est pas à ses premiers efforts en matière de sécurité, loin de là. L’an passé, il a ainsi ouvert Macie, un service de reconnaissance de données sensibles, basé sur la technologie d’Harvest.ai, discrètement racheté quelques plus tôt.

De fait, Amazon a, comme Google et Microsoft, bien compris l’enjeu clé que représente la sécurité pour ses offres Cloud. Le dernier a par exemple ajouté à Azure, en septembre dernier, une capacité de confinement dans un environnement d’exécution de confiance du code manipulant des données en clair. Et c’est sans compter avec la mise à jour, en juin, d’Azure Portal, pour intégrer Intune, contrôle d’accès, fonctions d’annuaire, et de protection des données.