25 mars 2013

Un des termes récurrents depuis quelques mois est la notion de « Big Data » que l’on retrouve aussi bien dans le domaine IT que dans un grand nombre de secteurs. Si l’utilisation de cette méthode de stockage, indexation, exploitation est de plus en plus courant pour la corrélation des évènements issus d’un SI, il est tout aussi possible d’appliquer cela à l’analyse sécuritaire.

En effet, des outils tels que Splunk permettent de corréler rapidement les comportements anormaux d’un utilisateur tels que Tentative de connexions, ouverture d’un grand nombre de sessions, Découverte du réseau… Mais ces éléments ne sont remontés que par les éléments générant un log : Serveurs, Firewall, IPS, Passerelle de messagerie, … Mais comment peut – on s’assurer que cet utilisateur ne transmets pas de données via un callback HTTP, quelles sont les données auxquelles l’utilisateur accède, est – ce le résultat d’une infection, réalise -t – il une découverte du réseau ?

Solera permet d’apporter une couche réseau à la notion de « Big Data » en capturant l’ensemble des flux en différents points du réseau. Grâce à ces captures, il est ensuite possible de définir des recherches pour identifier quels sont les flux qui transitent sur le réseau, d’extraire et de reconstruire les données envoyées. Le gros avantage de ce genre de solution est la capacité d’identifier l’ensemble de l’activité d’une personne et pas uniquement les comportements ayant générés un log sur un équipement tiers.

 

En couplant cette couche réseau à une solution Splunk, il est ainsi possible d’analyser finement le comportement d’un utilisateur à risque.

Prenons par exemple le cas d’une adresse interne ayant généré un grand nombre d’évènement firewall. Comment savoir si cela vient de l’utilisateur lui – même, s’il a été infecté, ou juste un faux positif ? Pour cela, il est pertinent de regarder l’ensemble des flux pour cette machine afin de vérifier ce qui a été fait avant et tout ce que tente la machine. Splunk, via l’application Solera, permet de lier les données firewall vers la sonde Solera avec le filtre adéquat sur l’IP et la plage de temps.

Ainsi, pas besoin de maintenir 2 référentiels de données et de reporter les recherches d’une solution sur l’autre, le passage des informations est automatique. Il devient aussi beaucoup plus simple d’analyser en détails les évènements de sécurité en y apportant une vue globale. Cela évite aussi de longues heures à essayer de comprendre la raison de l’évènement ou pire encore un classement par défaut en « Faux positif ».

 

En conclusion, Solera apporte une solution réseau permettant de généraliser le principe du Big Data dans la gestion des évènements du SI. Placé en complément d’un SIEM, cet outils permet d’apporter une visibilité sur le comportement de son SI, d’analyser les évènement à posteriori et enfin de consolider la politique de sécurité actuellement en place.

Partager :

Auteurs