Balabit rassemble logs et surveillance des utilisateurs pour détecter les menaces

Balabit vient de présenter sa solution Contextual Security Intelligence (CSI). Celle-ci regroupe le système de gestion des logs syslog-ng, celui de surveillance des comptes à privilèges, Shell Control Box – utilisé notamment par Docapost –, et l’outil d’analyse comportementale Blindspotter.

Lancé en juillet dernier, Blinspotter marquait l’entrée de Balabit sur le marché naissant de l’UBA, l’analyse du comportement des utilisateurs. Dans un entretien téléphonique, Dàniel Bàgo, responsable du marketing produit de la nouvelle solution, soulignait l’importance de ce marché : pour lui, les règles prédéfinies telles que les entreprises les pratiquent avec leurs systèmes de gestion des événements et des informations de sécurité (SIEM) sont trop chronophages et montrent, de facto, leurs limites. L’UBA apparaît donc comme une alternative clé, notamment avec le recours au Machine Learning. Avec Blindspotter, Balabit en utilise plusieurs algorithmes dont il combine les résultats.

Mais comme le soulignait Balasz Scheidler, co-fondateur et directeur du développement de Balabit, dans un entretien accordé à la rédaction début octobre, Blindspotter est déjà capable d’intégrer les données remontées par Schell Control Box. Alors, dans un communiqué, BalaBit explique aller un cran plus loin avec sa solution CSI : celle-ci surveille en continu l’activité des utilisateurs privilégiés mais regroupe aussi les informations sur l’ensemble de ce qui survient au sein de l’organisation, permettre de replacer les actions des utilisateurs dans un contexte. 

Le Machine Learning est là encore mis à contribution pour définir les profils de comportements normaux des utilisateurs avant d’identifier les anomalies susceptibles de trahir d’éventuelles menaces.