Waterfall Security veut garantir l’intégrité des journaux d’activité

Waterfall Security vient d’annoncer Blackbox, sorte de coffre-fort pour journaux d’activité. Celle-ci tire en fait profit de l’expérience de l’équipementier qui s’est fait une spécialité de proposer des solutions basées sur des passerelles unidirectionnelles – dans l’esprit d’une diode, sommairement – pour interconnecter de manière sûre des systèmes industriels à des systèmes informatiques de gestion. Une passerelle doit être déployée dans le premier, et une autre dans le second. Les deux sont reliées par fibre optique. La première passerelle ne peut fonctionner qu’en émission, et la seconde uniquement en réception.

Récemment, Waterfall Security a lancé CloudConnect Unidirectionnel, une solution conçue sur le même principe pour collecter les données stockées sur des sources telles que les serveurs historiens. Elle assure au passage la conversion des données dans des formats immédiatement exploitables avec des bases de données relationnelles ou encore des interfaces XML/SOAP.

BlackBox reprend le même concept et créée une barrière physique entre l’infrastructure où sont produits les logs et leur environnement de stockage. Dans un communiqué de presse, l’équipementier explique l’intérêt de l’approche : « les logs enregistrés [deviennent] ainsi inaccessibles pour des attaquants qui souhaiteraient effacer leurs traces […] Les logs du réseau, des applications et de la sécurité sont vitaux pour les activités de forensique, pour la réponse aux incidents et pour les analyses de risque et les audits ».

Récemment, Laurance Dine, associé exécutif Verizon Enterprise Solutions, soulignait dans nos colonnes que « pour 82 % des brèches de sécurité sur lesquelles nous avons enquêté, des indices étaient clairement visibles dans les logs ». Et de suggérer d’établir, comme pratique de référence, une collecte « d’au moins 90 jours des logs des systèmes critiques et non-critiques ». Chez FireEye, David Gout relevait par ailleurs que « oublier de collecter les logs peut s’avérer désastreux dans le cadre d’une réponse à incidents car cela peut limiter la capacité des intervenants dans leur compréhension de l’évolution de l’assaillant et par conséquent de ses impacts ».

Mais avec sa BlackBox, c’est bien à l’intégrité des logs que s’attache Waterfall Security. Lior Frenkel, son Pdg et co-fondateur, souligne ainsi : « jusqu’à présent, les équipes de réponse et détection aux incidents de sécurité ne pouvaient pas être sûres qu’un attaquant n’avait pas falsifié ni manipulé les journaux d’activité afin de fausser les résultats des audits et des efforts de réponse aux incidents ».