Anomali pense déjà à l'avenir du renseignement sur les menaces

C’est début 2013 que deux anciens d’ArcSight, Colby DeRodeff et Greg Martin, ont fondé Anomali, peu avant d’être rejoints par son actuel Pdg, Hugh Njemanze, lui-même co-fondateur d’ArcSight, que nous avions rencontré aux Assises de la Sécurité en 2011.

Initialement appelée ThreatStream, l’entreprise est née d’une idée que résume Jermain Njemanze, ingénieur solutions pour la région EMEA : « rendre plus simple la gestion des flux de renseignements sur les menaces acquis à partir de sources diverses – flux ouverts, flux commerciaux, recherches internes, etc. – afin de consolider l’ensemble dans une interface unique pour en faciliter l’analyse, puis son partage avec des tiers, internes comme externes, mais aussi les systèmes de sécurité, comme le système de gestion des informations et des événements de sécurité (SIEM), les pare-feux, etc. ».

Et ce n’est pas un hasard, car « le développement d’ArcSight a été l’occasion de découvrir l’une des difficultés auxquelles étaient confrontées ses utilisateurs : trouver l’origine des menaces que le SIEM mettait en lumière ». Ainsi, par exemple, ArcSight pouvait indiquer que des hôtes du système d’information établissaient des connexions avec des adresses IP inconnues à des heures inhabituelles. Mais le SIEM est, seul, dans l’incapacité de répondre à des questions relatives au contexte de ces adresses IP. D’où l’idée de ThreatStream pour combler ce manque : « compléter le SIEM en apportant des informations sur les menaces connues et aider les analystes à disposer d’une vision plus large ».

Mais le manque n’a pas été identifié uniquement par les équipes d’ArcSight. Entre temps, les offres de plateformes de gestion du renseignement sur les menaces (TIP) se sont multipliées, entre RiskIQ, ThreatConnect, ThreatQuotient, EclecticIQ, ou encore le très populaire MISP. Cette concurrence, Jermain Njemanze l’appréhende avant tout comme une validation du concept et la confirmation d’un intérêt certain pour les TIP (en anglais, threat intelligence platform) : « plus le marché se développera, plus ce sera positif pour tous ses acteurs ». Mais il faut tout de même se différencier de la concurrence.

Pour cela, Anomali avance un moteur de détection de menaces, appelé Anomali Enterprise : « la différence entre ThreatStream et Anomali Enterprise, qui sont les deux composants de la plateforme Anomali, est que le premier vous donnera des informations sur les menaces connues à l’extérieur, et le second mettra en lumière lesquelles concernent votre infrastructure ». Et de s’appuyer pour cela sur une analyse du trafic réseau.

Jermain Njemanze reconnaît que cela rappelle là une intégration classique entre TIP et SIEM. Toutefois, il souligne que ces derniers sont pénalisés par leurs capacités de requêtage sur les journaux d’activités – « remonter loin dans le temps peut être difficile, du simple fait de la manière dont est géré et optimisé le stockage des logs ».

Pour autant, et il le reconnaît bien volontiers, il n’est pas rare que la plateforme d’Anomali soit utilisée conjointement avec MISP – certains clients de ThreatQuotient le font également – pour l’ingestion de sources externes. Pour le partage vers des tiers externes, le connecteur d’Anomali ad hoc est en cours de finalisation.  

Mais Anomali Enterprise va plus loin, proposant un système de notation de risque, en s’appuyant notamment sur des données sur l’infrastructure interne susceptibles d’être remontées par des outils tiers, comme ceux de Qualys ou encore de Tenable : « nous tenons compte de la sévérité de la menace, mais également des informations des logs, et la criticité des actifs concernés. La note finale sera naturellement plus élevée pour des serveurs applicatifs métiers ou des systèmes de contrôle de production industrielle ».

Mais Anomali prévoit bien d’autres évolutions, notamment parce que « la gestion du renseignement sur les menaces évolue vers de nouveaux cas d’usage. Il ne s’agit plus simplement de suivre des indicateurs donnés, comme une URL ou une adresse IP, mais également d’analyser des comportements pour disposer de moyens supplémentaires d’identifier les menaces. En essayant de comprendre les attaquants, leurs motivations, leurs tactiques et leurs stratégies ». Sans surprise, la plateforme d’Anomali s’appuiera donc prochainement sur la référence ATT&CK du Mitre ; une fonctionnalité à venir qui était présentée au Forum International de la Cybersécurité.

Jusqu’ici, Anomali était relativement discret sur le Vieux Continent, même si Jermain Njemanze le représente depuis la fin 2016 à Belfast. Le choix de ce dernier pour la région n’a rien d’innocent : passé par Toulouse pour une part de ses études, mais aussi de son parcours professionnel, entre T-Systems, et SCC notamment, il parle couramment français.