Andrey Kuzmin - Fotolia

Comment Starbucks automatise les tâches de sécurité récurrentes

La chaîne utilise Splunk, et en particulier la plateforme de Phantom, acquise récemment par celui-ci, pour automatiser les tâches de sécurité les plus répétitives et alléger la charge de travail de ses équipes.

Starbucks utilise Splunk: Phantom pour automatiser l’essentiel de ses tâches de sécurité récurrentes et réduire le temps qu’y consacrent ses équipes. Mike Hughes, RSSI de la chaîne, a profité ainsi de la conférence utilisateur de Splunk, qui se déroulait récemment en Floride, pour partager deux cas d’usage de l’automatisation de ses processus opérationnels de sécurité.

Et à l’entendre, cela n’a rien d’accessoire car, pour lui, les attaquants « ne sont pas des super méchants » : « la plupart des brèches dont on entend parler trouvent leur origine dans l’ordinaire » de la sécurité. Mais attention à ne pas sous-estimer les attaquants : pour Mike Hughes, les attaquants sont en priorité portés par les intérêts des états nations, de gangs organisés, ou tout simplement des collaborateurs – ou d’anciens collaborateurs – mécontents cherchant à voler des données clients.

Pour lui toutefois, les attaques les plus difficiles à traiter sont celles « qui sont à haute vélocité et grand volume », susceptibles de provoquer d’importants dégâts si elles ne sont pas détectées. Ajoutons à cela la rapidité de l’évolution des technologies, et l’on obtient des attaques susceptibles de nécessiter un grand nombre de personnes pour être contenues : « le simple volume de ce qui se passe fait que ce n’est pas humainement gérable ». Ce n’est donc pas une simple question de ressources qualifiées – qui par ailleurs ne manquent pas… de manquer.

Et puis pour l’infrastructure de Starbucks, on parle de trois millions d’authentifications par jour, à partir de lieux très variés, pour les seuls collaborateurs de la chaîne. Celle-ci collecte également les journaux d’activité de 200 000 hôtes – y compris les machines à café. Et Mike Hughes de résumer ainsi : « nous sommes une grande entreprise, dans laquelle il se passe beaucoup de choses. Je pourrais avoir un millier d’analystes, il resterait des choses qu’ils ne verraient pas ». D’où un besoin évident d’automatisation, notamment pour les domaines où les volumes sont des identités, ou encore l’hygiène liée au courrier électronique.

Le but est là de s’assurer que les équipes de sécurité ne sont pas submergées par les tâches fortement chronophages, et peuvent apporter toute leur valeur à l’entreprise.

Et c’est aussi une question de rétention des talents : « nous devons les garder occupés, motivés ; nous voulons qu’ils se sentent investis dans des activités intéressantes ».

Premier cas d’usage : triage des incidents

Les événements impliquant un maliciel sont poussés automatiquement à la plateforme Phantom pour en déterminer le niveau de priorité et pour savoir s’ils méritent une élévation. Les outils de requétage de la plateforme se chargent d’examiner les menaces connues et d’interroger les outils de protection des hôtes pour voir si l’incident a été identifié et traité.

Des variables telles que la réputation d’adresses ou le comportement de la machine concernée peuvent permettre d’évaluer la gravité de l’évènement. En fonction de l’évaluation établie, la plateforme se chargera d’intervenir ou non, mais ouvrira un ticket pour documenter l’évènement. Pour Hughes, ce processus est l’une « des principales pertes de temps » pour un analyste de la sécurité opérationnelle.

Avec son automatisation, les analystes n’ont plus qu’à consulter un tableau de bord une fois qu’un ticket a été généré et à déterminer si la bonne réponse lui a été donnée : « cela prend une ou deux minutes. C’est essentiel en volume ».

Second cas d’usage : l’hygiène de la messagerie

Pour Mike Hughes, la majorité des grandes brèches vues au cours des 10 dernières années trouvent leur origine dans une mauvaise hygiène de la messagerie électronique, un élément clé, selon lui.

Starbucks bloque 92 millions de messages électroniques entrants. Et chaque courriel est retenu et « détoné » avant d’être délivré à son destinataire. Mais c’est lorsque les outils de prévention ne détectent pas de problème, qu’une intervention peut être nécessaire. Et c’est là qu’intervient Phantom.

Plusieurs processus sont lancés, dont une requête sur Splunk pour obtenir des informations sur l’utilisateur dont est venue la menace, et sur chaque action engagée au préalable. Et un ticket est ouvert si nécessaire : « dans certains cas, si la menace a été traitée en temps réel, avec ou sans l’aide de l’utilisateur, le ticket peut être fermé automatiquement », explique Mike Hughes.

Et de reconnaître que ces cas ne sont pas forcément « les plus sexy » à traiter. Mais pour lui, ils font partie des plus importants.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close