La sécurité en quête d’intelligence
Toute à la recherche d’outils accélérant la détection et la résolution des incidents, l’industrie de la sécurité travaille à améliorer ses outils liés au renseignement sur les menaces, ainsi que les capacités informatiques d’aide à l’analyse.
Pour Amit Yoran, patron de RSA, il n’y a pas de miracle à attendre d’une énième brique technique : « notre problème n’est pas un problème technologique. Nos adversaires ne nous battent pas parce qu’ils ont une meilleure technologie. Ils nous battent parce qu’ils sont plus créatifs, patient et persistants ». Pour autant, l’analyse comportementale, épaulée par l’intelligence artificielle et l’apprentissage machine, devraient considérablement aider. Des technologies qui ont émergé, dans le domaine de la sécurité informatique, l’an passé et qui devraient occuper le devant de la scène lors de cette édition 2016 de RSA Conference, voire pour encore plusieurs années.
RSA rattrape son retard
Sans surprise, donc, le patron de la division sécurité d’EMC vient d’annoncer le lancement de sa propre plateforme d’analyse comportementale. RSA Security Analytics intègre ainsi désormais un moteur d’analyse comportementale temps réel basée sur des algorithmes de Machine Learning. Elle s’appuie en outre sur la technologie Big Data de Pivotal.
Une note d’information de décembre 2015 souligne l’importance que RSA accorde à l’analyse comportementale. L’éditeur y relève en particulier que « les identifiants légitimes permettant aux attaquants d’accéder largement [au système d’information] aux côtés de l’activité utilisateur normale. […] mais les actions ne sont pas elles-mêmes cohérentes avec le comportement normal de l’utilisateur ». De quoi trahir une compromission.
Mais avec cette annonce, RSA comble surtout une année de retard, notamment sur HP. C’est lors de la précédente édition de RSA Conference que ce dernier a ainsi présenté ArcSight User Behavior Analytics, en s’appuyant sur la technologie de Securonix. Ce dernier vient d’ailleurs d’annoncer Snyper, sa solution analytique conçue pour les environnements Hadoop.
L’offre continue de progresser
Et ce n’est pas le seul. Splunk, qui était entré sur ce terrain l’an passé avec l’acquisition de Caspida, au risque de couper l’herbe sous le pied d’un FortScale, vient d’annoncer la version 2.2 de son module d’analyse comportementale. Celui-ci se distingue notamment par son intégration avec Splunk Enterprise Security 4.1 et doit lui fournir des capacités de détection des anomalies comportementales multi-entités, enrichies d’informations sur les menaces, pour aider les équipes de réponse aux incidents.
De son côté, FortScale, l’un des finalistes de l’édition 2015 de l’Innovation Sandbox de RSA Conference, vient de présenter la version 2.5 de sa solution. Visant toujours à être déployée au-dessus d’un SIEM, cette nouvelle mouture se veut totalement autonome et débarrassée de toutes règles de détection.
De son côté, DarkTrace vient d’ajouter une brique complémentaire à son offre : non content d’utiliser l’apprentissage machine pour détecter les menaces à trafic réseau du système d’information, le britannique propose désormais Antigena, une solution de réaction automatisée aux menaces identifiées.
De son côté, Acuity Solutions vient de présenter la version 2.0 de BluVector, sa solution de détection et de traque de logiciels malveillants basée sur le Machine Learning. Au programme : la possibilité de l’entraînement de son appliance directement en environnement de production pour « augmenter et faire évoluer le moteur de classification de base de BluVector », à partir des flux réseau de l’entreprise et de ses propres échantillons de code malveillant.
En route vers l’intelligence artificielle
Mais d’autres revendiquent déjà d’avoir passé la vitesse supérieure. Ainsi, Deep Instinct a déposé 5 demandes de brevets autour de l’application de l’apprentissage profond à la sécurité informatique. L’éditeur revendique la mise en œuvre du Deep Learning pour pour détecter, en temps réel, les logiciels malveillants sur les terminaux et serveur, dans un effort de lutte contre les menaces avancées. Dans un communiqué, il explique que ses demandes de brevets couvrent tant les phases d’entraînement du modèle d’apprentissage profond, que de prédiction, portant en particulier sur des méthodes visant à optimiser le taux de détection et la consommation de ressources, ou encore d’application du concept à l’inspection de paquets en profondeur (DPI).
Ajouter de l’intelligence au renseignement
Mais si le renseignement sur les menaces n’occupe pas le devant de la scène de cette édition 2016 de RSA Conference, il n’en est pas pour autant absent des esprits. Mais il s’agit de le rendre plus efficace dans le contexte de l’entreprise.
C’est ainsi que s’installe aujourd’hui en France ThreatQuotient, une plateforme de gestion et de corrélation de sources externes de renseignements sur les menaces, en lien avec les sources internes de l’entreprise. La plateforme a bientôt trois ans et, pour son arrivée en France, est aller chasser dans les rangs d’anciens de Sourcefire passés chez Cisco à l’occasion du rachat du premier par le second.
ThreatQuotient a été désigné start-up de l’année à RSA Conference et concurrence notamment ThreatConnect, fondé début 2011, par des anciens de Layer 7 Technologies et de Symantec. Sans compter ThreatStream, qui vient de se rebaptiser Anomali, dirigé par quelqu’un qui mesure, de longue date, l’importance des capacités analytiques en matière de sécurité : Hugh Njemanze, co-fondateur d’ArcSight. Début octobre 2011, à l’occasion d’une rencontre à l’occasion des Assises de la Sécurité, à Monaco, il lançait d’ailleurs : « l’analyse et l’identification de schémas comportementaux en sécurité, c’est comme dans le marketing ! On parle là d’algorithmes personnalisés qui cherchent des événements ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
SIEM : RSA retire les fruits du rachat de Fortscale
-
SentinelOne joue la carte chronologique pour traiter les incidents de sécurité
-
Christian Have, LogPoint : « chaque capacité d’UEBA ajoute du contexte dans le SIEM »
-
Balazs Scheidler, One Identity : « considérer l’UBA comme un segment de marché était une erreur »