Ces nouveaux outils qui simplifient le travail des analystes de SOC

De jeunes pousses - comme Siemplify et SecBI - cherchent à aider les analystes en facilitant le travail d’investigation grâce à des représentations consolidées des alertes et des informations qui s’y rapportent.

Cet article se trouve également dans ce contenu premium en téléchargement : Information Sécurité: Le SOC, de plus en plus répandu mais difficile à maîtriser

Secbi est une jeune pousse israélienne fondée en 2014 par Alex Vaystikh et Doron Davidson, deux anciens de RSA. Elle compte parmi ces acteurs qui cherchent un moyen de soulager les analystes des centres opérationnels de sécu­rité (SOC) pour leur permettre de traiter plus d’alertes, plus rapidement.

Son outil collecte et analyse les métadonnées du trafic ré­seau pour détecter des événements suspects, mais égale­ment pour présenter une vue consolidée d’alerte, à raison d’une seule par incident.

Dans un entretien avec la rédaction, Gilad Peleg, PDG de SecBI, souligne l’enjeu : « les entreprises réalisent qu’à un moment donné, elles seront compromises. La protec­tion est indispensable, mais elle ne suffit pas. L’élément clé pour prévenir une vaste brèche est la détection. Il faut pouvoir détecter vite et précisément pour pouvoir être ca­pable de bloquer et nettoyer la menace ».

Las, les pirates cachent leurs activités malicieuses au mi­lieu d’activités légitimes. La botte de foin dans laquelle chercher la menace s’avère particulièrement grosse. Et les alertes remontées aux analystes dans les SOC, nombreuses.

Dans nos colonnes, Laurent Besset, d’I-Tracing, décriv­ait d’ailleurs récemment des analystes « entre burn-out et bore-out ».

Eviter un travail usant

Début 2015, Alex Vaystikh résumait la situation : « c’est un problème lié au manque d’outils pour nous aider. Nous sommes très bons à détecter des motifs et, en conséquence, très mauvais à remarquer des détails, en particulier lorsque l’on est submergé par des données similaires ».

Gilad Peleg explique donc l’approche de SecBI : « on ne veut pas bombarder les analystes avec des alertes spo­radiques, ni l’envoyer à la poursuite d’alertes distinctes pour comprendre l’ensemble d’un incident. Nous voulons l’aider en lui présentant des incidents recouvrant plus­ieurs alertes, et lui permettre de les appréhender dans leur globalité, depuis leur point de départ ».

Et la logique semble fonctionner. Gilad Peleg évoque l’exemple d’une institution financière de 5.000 collaborateurs avec laquelle SecBI a réalisé un pilote. « Nous avons collecté 3,5 milliards de journaux syslog représentant un mois d’activité ». Son analyse a permis d’identifier trois utilisateurs dont les machines avaient été compromises par Dridex.

Leurs machines « communiquaient avec une dizaine de domaines sporadiques, sans qu’un réel motif n’apparaisse. Elles échangeaient aussi avec 20 adresses IP différentes pour lesquelles aucune information de threat intelligence n’était disponible. Cinq mégaoctets de données avaient été exfiltrés, mais sur 14 points de dépôt différents, et le tout chiffré ».

Les indices de cet incident étaient disséminés dans 200 journaux. « Une vingtaine d’entre eux avaient généré des alertes […] Pour un analyste, cela veut dire fouiller parmi 180 journaux d’événement apparemment anodins. Et faire ça vingt fois parce qu’il n’y a personne pour vous indiquer que ces alertes sont liées ».

Recouvrir à l’apprentissage machine

Pour fonctionner, la plateforme de SecBI s’alimente au­près des équipements réseau, rappelant ainsi l’approche de Darktrace.

La première étape consiste donc à « extraire les infor­mations des logs. Beaucoup de choses peuvent être collectées ». L’une des principales difficultés consiste à replacer ces données dans un contexte pour reconstruire les sessions des utilisateurs – et pas sous un angle stricte­ment technique bas niveau.

Ce travail permet aux algorithmes d’apprentissage au­tomatique – Machine Learning – d’associer les événe­ments à des clusters. Car contrairement à d’autres comme PatternEx, SecBI a fait le choix de l’apprentissage automa­tique non supervisé. Il n’est pas question de pointer des exemples à la machine pour apprendre comment classi­fier des événements ; c’est à elle d’en découvrir la struc­ture cachée en constituant des groupes plus ou moins homogènes. Les clusters ainsi construits « représentent l’activité d’un ou plusieurs utilisateurs sur une période données ».

Gilad Peleg indique de SecBI développe en interne ses propres algorithmes et insiste sur le fait que les clusters comportementaux établis par ceux-ci peuvent concerner plusieurs utilisateurs : « avec un seul, le rapport signal/ bruit est très bas. Plus le cluster concerne d’utilisateurs, plus ce rapport est élevé ». Et plus le sont aussi les chances de trouver des anomalies.

Les incidents détectés sont ensuite présentés aux analystes de manière consolidée, avec pour chaque attaque des élé­ments de chronologie, la liste des indicateurs découverts, les systèmes compromis ou encore la nature de l’attaque.

C’est fin septembre qu’Orange Digital Ventures a annoncé avoir pris une participation dans SecBI. On imagine bien l’intérêt du groupe par cette jeune pousse alors que sa di­vision Cyberdéfense vient de présenter une offre de SOC managé qui emploie 120 personnes réparties entre la France et l’Inde.

Au-delà sur SIEM, pour faire plus simple

Sortie de l’ombre en début d’année, Siemplify ambitionne de proposer aux analystes de SOC une unique inter­face depuis laquelle traquer et répondre aux incidents de sécurité.

La jeune pousse américaine, fondée en 2015 et qui vient de lever 10 M$, propose une plateforme ayant l’ambition de répondre à tous les besoins des analystes des cen­tres opérationnels de sécurité (SOC) en consolidant événements de sécurité, flux de renseignements sur les menaces ou encore informations sur les vulnérabilités. Sans sous oublier le volet orchestration de la réponse à incident.

Mi-février dernier, Amos Stern, PDG et co-fondateur de Siemplify, expliquait comment, au cours de son expéri­ence professionnelle, il avait pu constater que « les outils cyber échouent à répondre aux défis opérationnels aux­quels sont confrontées les équipes de sécurité ».

D’où l’idée de la plateforme ThreatNexus, conçue suiv­ant un « modèle de centre de commande pour le SOC, combinant analyse temps réel, investigation visuelle, et réponse à incident ». Pour cela, il s’agit de réduire la part d’analyse restant à la charge des exploitants de SOC au milieu des alertes qui leur sont remontées. Notamment en réduisant l’importance des compétences purement techniques liées à l’exploitation des outils.

« Les analystes sont embauchés pour leur capacité à com­prendre le sens des données, pas pour leur capacité tech­nique à écrire une requête sur une base de données ».

Replacer les événements dans leur contexte

La plateforme ThreatNexus a donc été conçue avec l’ambition de replacer automatiquement dans le con­texte de l’organisation les données de sécurité internes et externes – y compris les renseignements sur les men­aces ; de corréler les alertes générées par tous les sys­tèmes de sécurité déployés ; de « filtrer le bruit de fond » des alertes et les hiérarchiser ; ou encore de s’intégrer à l’infrastructure de sécurité existante pour permettre une réponse à incident à partir d’une console unique.

Pour cela, la plateforme ThreatNexus s’appuie sur six modules. Le premier est un outil de gestion de cas et de tickers d’incidents. Il s’appuie sur un moteur d’analyse chargé de corréler et de grouper les alertes critiques en une liste de cas hiérarchisés. Chaque cas donne directe­ment accès aux informations qui lui sont associées ainsi qu’aux workflows de remédiation.

Ce premier module apparaît en fait comme un point d’entrée. De là, les analystes peuvent étudier en profond­eur les cas présentés, de manière graphique, en s’appuyant sur les différentes sources de données de l’infrastructure de sécurité.

Les flux de renseignements sur les menaces sont intégrés, permettant de faire ressortir rapidement les liens entre événements observés et menaces connues, le tout dans le contexte de l’organisation à protéger.

Enquêter par hypothèses

ThreatNexus permet également de formuler aisément des hypothèses, comme des scénarios d’attaques, et de chercher les traces qui seraient susceptible de trahir des activités cohérentes avec des hypothèses. Le tout pour appréhender la protection de l’organisation de manière proactive.

Face à un incident, le moteur d’orchestration de la plate­forme, présenté en juillet, permet d’automatiser partielle­ment ou complètement la réponse, suivant des workflow prédéfinis.

L’intégration est supportée avec les systèmes de gestion des informations et des événements de sécurité (SIEM) Splunk, ArcSight, ou QRadar, mais également avec les outils de McAfee, Symantec, Carbon Black, Tanium, Fire­Eye, RSA, ou encore Palo Alto Networks.

Devant cette liste, on relèvera au passage qu’Alex Daly, an­cien fondateur et patron d’ArcSight fait partie des inves­tisseurs de Siemplify.

Pour approfondir sur Gestion de la sécurité

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close