L’automatisation, clé de la réponse aux incidents ?

La réponse aux incidents de sécurité présente de nombreux défis. Mais l’industrie se met en ordre de bataille pour tenter de réduire les délais d’investigation et de réaction.

C’était il y a 4 ans. Intervenant en ouverture de la conférence RSA – dont l’édition 2016 se déroule cette semaine à San Francisco –, Art Coviello, alors président exécutif de la division sécurité d’EMC, appelait à un changement radical des mentalités et à « accepter l’idée que nos réseaux seront infiltrés ». Un an plus tard, il portait en fait le même appel au réalisme, plaidait pour un modèle de sécurité adaptatif, « qui évolue et apprend du changement, qu’il soit lié à des processus, à des technologies ou à des menaces […] un modèle qui nous permettre de détecter les attaques rapidement et d’y répondre rapidement ».

Si, avec ces prises de parole, Art Coviello soulignait tour à tour l’importance du renseignement sur les menaces et des capacités analytiques pour déceler les signaux faibles de compromission au cœur de l’infrastructure, il mettait aussi en exergue l’inexorabilité de celles-ci et l’importance de la réaction. Et ce message semble avoir été entendu.

Se préparer à des incidents inéluctables

Ainsi, en juin 2015, une étude de Pierre Audoin Consultants, montraient que les grands groupes français se préparaient à réorienter leurs investissements sur les technologies de détection et de réaction aux incidents de sécurité – au détriment des plus traditionnelles solutions de prévention.

Bien documentée, avec notamment un guide complet de gestion des incidents de sécurité informatique du NIST américain et un autre par l’Enisa, la réponse aux incidents de sécurité n’en présente pas moins de nombreux défis. Comme le soulève l’association représentant l’industrie de l’information technique de la sécurité, Crest, cela commence avec l’identification d’un incident supposé, l’établissement des objectifs de l’enquête et des opérations de nettoyage, ou encore l’analyse des informations disponibles au sujet de l’incident. Viennent ensuite la détermination de ce qui s’est réellement passé, l’identification des systèmes et informations compromis ou encore la recherche du qui – à l’origine de l’incident – et de ses motivations.

Mais pour Crest, peu d’organisations sont effectivement préparées à répondre à des incidents de sécurité, que ce soit en termes de personnes, de processus, de technologies ou encore de documentation.

Accélérer les processus

Mais l’industrie de la sécurité semble bien décidée à apporter sa part de la réponse. Netflix a ainsi rendu disponible, en mai 2015, son propre outil de réaction automatisée aux incidents de sécurité, Fido.

Mais c’est dans cette même perspective que l’on peut replacer l’annonce, au début du mois de février, du rachat d’Invotas par FireEye. Sa plateforme, compatible notamment avec les produits de Blue Coat, Cisco, Splunk, McAfee, Mobile Iron, TippingPoint, Palo Alto ou encore ArcSight, s’installe au-dessus d’un système de gestion des événements et des informations de sécurité (SIEM) pour automatiser la réaction aux incidents.

De son côté, IBM serait en entré en discussion avec Resilient Systems en vue de le racheter ; la rumeur évoque une transaction à plus de 100 M$. Créé en 2010 sous le nom de Co3 Systems, l’éditeur a développé une plateforme dédiée à l’orchestration et à l’automatisation des processus de réponse aux incidents de sécurité. Sans surprise, elle supporte les SIEM d’IBM, de HP, mais aussi Splunk.

Rapid7 vient en outre tout juste d’annoncer InsightIDR, un outil s’appuyant sur la technologie de LogEntries, racheté en octobre dernier, et visant là encore à accélérer la réponse aux incidents de sécurité, mais cette fois-ci en simplifiant l’investigation. Cybereason, l’un des finalistes de l’Innovation Sandbox de l’édition 2015 de RSA Conference, affiche les mêmes ambitions, avec le suivi automatisé en temps réel des incidents pour accélérer la détection et simplifier l’investigation.

Mais au-delà de l’accélération de l’enquête, c’est d’orchestration et d’automatisation de la réaction qu’il est aujourd’hui question. Le sujet n’est pas nouveau en soi. Proofpoint propose, avec Threat Response, arrivé en version 3.0 au printemps 2015, une plateforme de réponse automatisée aux incidents de sécurité ; Carbon Black revendique aussi la capacité de réduire les coûts et délais de remédiation ; l’italien Dflabs a fait évoluer ses outils – IncMan NG – de l’investigation à la remédiation automatisée.

Automatiser la réponse

Mais le domaine continue de susciter des efforts d’innovation. C’est ainsi en 2013 que Joseph Loomis a fondé CyberSponse pour créer une plateforme dédiée à la gestion des workflows au sein des centres de sécurité opérationnelle (SOC). Celle-ci s’intègre avec de nombreux systèmes de protection en profitant de leurs API REST, de leurs interfaces en ligne de commande ou encore de leurs mécanismes d’ingestion de courriels.

C’est en 2014 qu’Eran Barak, Barak Klinghofer et Idan Levin ont fondé Hexadite pour, là encore, aider les équipes de réponse aux incidents de sécurité informatique (CSIRT) : leur plateforme s’appuie sur des algorithmes décisionnels pour codifier les incidents de sécurité identifiés et leur appliquer des pratiques de référence qui s’imposent en matière de réaction, le tout de manière automatisée.

Et c’est il y a bientôt deux ans qu’Oliver Friedrichs – un ancien d’Immunet, dont Sourcefire a retiré sa technologie FireAMP pour traçabilité des attaques, que la rédaction avait rencontré à l’occasion de l’édition 2013 de RSA Conference – a fondé Phantom Cyber pour construire une plateforme d’automatisation et d’orchestration dédiée, là encore, à la réponse aux incidents de sécurité. L’an passé, Friedrichs a été rejoint par Erich Baumgartner, CP Morey et Dan Ramaswami, trois autres anciens de Sourcefire.

Phantom s’appuie notamment sur des stratégies de réaction – écrites en Python – dont certains sont accessibles ouvertement à titre d’exemple.

Une version communautaire de la plateforme est disponible gratuitement depuis l’automne dernier, limitée à 100 actions par jour. Phantom Cyber fait partie des finalistes de l’Innovation Sandbox de cette édition 2016 de RSA Conference.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close