On le sait: les attaques informatiques sont désormais le fait de hackers professionnels motivés par le gain qui rivalisent d’ingéniosité pour subtiliser les données des entreprises. Et les innombrables services cloud inoffensifs disponibles sur la toile peuvent les aider à accomplir ces vols. Le spécialiste sécurité Skyhigh rapporte ainsi le cas d’un grand établissement financier américain qui s’est rendu compte que l’un des ordinateurs de son réseau envoyait plus de 100 000 tweets par jour. Une enquête a ensuite révélé qu’un logiciel malveillant exploitait Twitter pour exfiltrer en douce des données via une multitude de messages de 140 caractères. D’autres services tout aussi anodins que Twitter peuvent également servir les hackers. Les portails de vidéo en ligne permettent d’envoyer des fichiers vidéo volumineux renfermant de manière déguisée les données de l’entreprise. En recourant à des outils de raccourcissement d’URL, à la Bit.ly, les pirates peuvent transformer les informations sensibles en adresses abrégées et les récupérer par la suite.
Limites des protections actuelles
Les entreprises ne manquent pourtant pas de moyens pour faire face et se protéger contre les menaces informatiques, qu’elles soient le fait de pirates ou de collaborateurs malveillants. L’an dernier, elles ont investi plus 70 milliards de dollars pour leur sécurité informatique, dont environ 19% contre la perte de données, selon Gartner. Pare-feux, antivirus, systèmes de prévention d’intrusion (IPS), de gestion unifiée des menaces (UTM), de gestion des informations et incidents sécuritaires (SIEM),… la plupart des entreprises sont bien équipées pour affronter les menaces traditionnelles. Néanmoins, ces diverses solutions et les multiples alertes et logs qu’elles génèrent, peinent souvent à détecter des attaques, notamment les plus ingénieuses d’entre elles et celles qui ne sont pas encore répertoriées. C’est là que de nouvelles techniques de sécurité s’appuyant sur le big data entre en lice. Un sujet d’actualité choisi par le Groupement Romand de l’Informatique pour sa journée sécurité annuelle, début mai à Genève.
Analyser et corréler davantage de données
Intervenant lors de la conférence, Sébastien Tricaud, Principal Security Strategist chez Splunk, a expliqué comment l’éditeur exploite le big data à des fins sécuritaires dans ses logiciels. Misant dès le départ sur les technologies big data et notamment MapReduce, la solution de Splunk se positionnait au départ comme un outil permettant aux départements IT d’explorer la multitude de logs émanant des systèmes. Dans le contexte sécuritaire (aujourd’hui 46% des revenus de Splunk), l’outil est employé pour analyser les données brutes collectées par les solutions de sécurité et y intégrer d’autres données d’usage, y compris hors du périmètre IT. Forts de cette couverture étendue et grâce à la puissance du big data, les responsables sécurité peuvent vérifier rapidement des hypothèses, identifier des corrélations et, in fine, trouver ce que d’autres solutions de sécurité n’ont pas remonté. Et Sébastien Tricaud de citer, en guise d’exemple, une entreprise réalisant qu’un collaborateur se connecte depuis un endroit, alors que son badge d’accès vient d’être utilisé dans une autre filiale.
Un cas qui fait écho aux propos de Lawrence Pingree, Directeur de recherche du Gartner, pour lequel les développements technologiques récents «créent de nouvelles opportunités d’améliorer l’efficacité de la sécurité, en comprenant mieux les menaces grâce à l’emploi d’informations contextuelles».
Détecter les signaux faibles
L’analyse d’énormes volumes de données brutes non-filtrées et contextuelles n’est pas le seul apport du big data dans la sécurité. A l’instar des exfiltrations de données via Twitter ou Bit.ly, les attaques sophistiquées avancent masquées et savent se faire passer pour des usages normaux engloutis dans la masse du trafic de l’entreprise. Ces activités malveillantes suivent néanmoins des schémas mathématiquement inhabituels. L’apport du big data réside ici dans l’identification de signaux faibles témoignant d’une activité suspecte.
Intervenant également lors de l’événement du GRI, Philippe Saadé, CEO de Picviz Labs, a expliqué être sollicité par de grands groupes victimes d’une attaque pour en trouver la cause. Le mathématicien a ainsi donné divers exemples de comportements inhabituels rares identifiés grâce au big data. Comme un botnet rayonnant depuis un ordinateur unique au sein d’un parc d’une centaine de milliers de PC. Ou des données générées par des équipements industriels exposées par inadvertance sur internet. L’expert a expliqué comment, lors de ses investigations, il procédait par carottages successifs pour identifier des signaux faibles au sein d’énormes volumes de logs, en recourant aux mathématiques, aux solutions big data et aux outils de visualisation. Tout en précisant qu’un phénomène inhabituel n’est pas pour autant suspect. Avec pour exemple le cas d’une grande société dont certains ordinateurs effectuaient des virements sur une banque nigériane… non pas parce qu’il étaient victimes d’une escroquerie, mais simplement par ce qu’ils payaient les salaires de la filiale de l’entreprise au Nigeria!
Un nouveau paradigme dans la détection d’intrusions
Pour la Cloud Security Alliance, les outils et méthodes du big data constituent, après les SIEM classiques, une nouvelle génération dans l’analyse et la détection d’intrusion. Grâce à leur capacité de réduire drastiquement le temps nécessaire à la corrélation, la consolidation, et la contextualisation des incidents sécuritaires, ou d’analyser un vaste historique de données à des fins forensiques. Un développement qui profite aussi de la baisse des coûts de stockage et des progrès réalisés au niveau des clusters informatiques.
Commentaire