UpLevel veut affiner l’analyse des incidents

C’est en 2014 que Liz Maida et Roselle Safran ont fondé UpLevel Security, finaliste de l’Innovation Sandbox de l’édition de 2017 de RSA Conference. La première, diplômée du MIT, a occupé plusieurs positions chez Akamai, durant près de quatorze ans, contribuant notamment à ses efforts dans le confinement des attaques DDoS, la détection de fraude ou encore l’authentification. La seconde fut à la tête de la cybersécurité de la Maison Blanche, après être passée par le ministère de l’Intérieur américain et les services de criminalistique d’E&Y, notamment. 

A l’occasion d’un entretien avec la rédaction, Liz Maida explique que son expérience chez Akamai a joué un rôle essentiel dans la création d’UpLevel : « l'un des très grands apprentissages de cette expérience était cette idée selon laquelle l’étendu de la visibilité est incroyablement critique lorsqu'il s'agit d'identifier les entités malveillantes ou les relations entre éléments de données. Et à bien des égards, cela a été l'un des principes fondamentaux de notre approche de la réponse aux incidents. Car il ne s'agit pas seulement d'accélérer et d'automatiser nombre d’activités manuelles chronophages. Mais c'est l'un des vrais défis auxquels sont confrontées les équipes d'intervention, c'est qu'il n'y a pas de référentiel historique pour conserver véritablement toutes les données et tout ce qui est ressorti des enquêtes sur des incidents antérieurs. Elles ne peuvent donc pas utiliser ces informations historiques pour comprendre comment une nouvelle alerte pourrait s’inscrire dans la perspective de toutes les autres connaissances acquises ». L’idée derrière cette approche, est qu’isolés, certains éléments peuvent paraître anodins, alors que leur nature malveillante peut apparaître une fois replacés dans un contexte plus large.

L’idée a de quoi faire penser aux ambitions des plateformes de gestion du renseignement sur les menaces, comme celles d’Anomali, Threat Quotient ou encore EclecticIQ. Mais Liz Maida revendique d’aller plus loin : « nous essayons de construire un entrepôt historique de toutes les données remontées par les instruments [de surveillance, SIEM, pare-feu, IDS, passerelle Web/messagerie], pour quelles soient utilisables comme base pour les renseignements sur les menaces internes, qui peuvent ensuite être combinés avec le renseignement sur les menaces externes ». Il s’agit d’enrichir ce dernier avec les données relatives aux incidents rencontrés en interne. Car pour Liz Maida, ce qui est susceptible de faire défaut dans l’exploitation du renseignement sur les menaces externes, c’est le manque de contexte spécifique à l’organisation, car faire la différence entre une simple alerte bénigne et un événement malveillant « est réellement critique ». 

En outre, la Pdg d’UpLevel relève que les attaquants peuvent aisément « contourner des indicateurs [techniques de menace] une fois qu’ils ont été marqués » et rendus publics. Et d’expliquer dès lors avoir « structuré tous les jeux de données sous-jacents en graphe » : « nous ne préservons pas seulement les attributs des données, mais également les relations entre eux pour préserver le contexte dans le temps ». 

Dans cette perspective, la plateforme d’UpLevel mise sur trois catégories de points d’intégration. Les systèmes de gestion des informations et des événements de sécurité (SIEM), naturellement, mais également les flux et plateformes de gestion de renseignements sur les menaces, mais encore des sources de données de contexte spécifiques aux organisations utilisatrices, comme l’annuaire ou les référentiels d’évaluation des risques, voire même des systèmes de gestion des services IT (ITSM) comme ServiceNow ou JIRA d’Atlassian, ne serait-ce que pour aider à la coordination d’activités distribuées de gestion de l’infrastructure.

Après sa première levée de fonds à l’automne dernier, UpLevel travaille à optimiser l’automatisation de l’ingestion de données et à simplifier le travail des analystes dans la documentation des incidents mais également avec la présentation des données « de manière à ce qu’ils puissent interagir visuellement avec elles ». Et c’est sans compter avec l’application des plus récentes techniques liées à la théorie des graphes et à celle de l’apprentissage automatique à ces derniers.