En direct de Budapest - Installé en plein coeur de la capitale hongroise, Balabit a conquis sa notoriété à l'international sur sa célèbre solution de gestion des logs Syslog-ng. Mais l'éditeur de sécurité est également depuis plusieurs années un acteur avec lequel il faut compter sur le marché de la surveillance des comptes et des accès à privilèges (PAM pour privileged activity monitoring). Un marché sur lequel le français Wallix lui donne d'ailleurs du fil à retordre, tout comme également l'américain CyberArk (partenaire d'OBS en France).
Pour tenter de faire la différence, Balabit s'est lancé en 2013 dans la création de Blindspotter, une brique logicielle d'analyse comportementale utilisateur (UBA pour user behaviour analytics) venant se greffer sur sa solution de PAM, Shell Control Box. Avec pour objectif de concentrer ses forces sur ces développements, quitte à délaisser une autre brique, celle de la gestion des mots de passe. « Nous sommes dans le PAM et notre force, c'est l'analytique », nous a confirmé Zoltan Györkö, CEO et co-fondateur de Balabit. « Nous ne sommes pas en phase d'acquisition dans la gestion des mots de passe, nous passons pour cela par une stratégie de distribution ». Bien que le CEO de l'éditeur hongrois acte du fait que son farouche concurrent Wallix soit aussi positionné sur le créneau du password management, le fait de ne pas y être ne constitue en rien, aux yeux de Zoltan Györkö, un handicap.
Csaba Krasznay, évangéliste sécurité de Balabit présente le fonctionnement de la solution de surveillance d'activité Shell Control Box, au siège de l'éditeur de sécurité hongrois à Budapest. (crédit : D.F.)
Avant de se lancer dans la course de l'UBA (User behaviour analytics, analyse du comportement des utilisateurs), c'est donc avec la Shell Control Box que Balabit a investi depuis 2006 le marché du PAM et plus particulièrement le segment PSM (privileged session management). Après une première version développée en 9 mois, une bêta de la Shell Control Box a été lancée pour répondre à plusieurs enjeux, à savoir la surveillance et l'enregistrement des comptes et des accès à privilèges, l'analyse de la détection des comportements suspects ainsi que le blocage des activités malveillantes issues d'utilisateurs mal intentionnés ayant réussi à obtenir des identifiants valides. La Shell Control Box a depuis évolué et prend aujourd'hui la forme d'une appliance - aussi bien physique que virtuelle - qui se présente comme une solution proxy fonctionnant de façon totalement indépendante. Il n'y a en effet rien à installer côté serveur pour permettre depuis une interface web graphique, d'autoriser ou pas les connexions à n'importe qui ou de restreindre les accès à tel ou tel service ou application. « La plupart des clients qui vont vers Balabit le font pour des raisons réglementaires auxquelles nous répondons », a indiqué Csaba Krasznay, évangéliste sécurité de Balabit. Des paroles loin d'être des mots en l'air, la Shell Control Box répondant aux contraintes de conformité en termes d'ISO 2700x, PCI DSS, SOX et Cobit, ISAE 3402 / SAS 70 ainsi qu'aux lois locales, directives UE, et GPG, FISMA, HIPAA, Jsox... Les protocoles supportés sont par ailleurs nombreux (HTTP/HTTPS, RDP, Citrix ICA, VNC, Telnet, TN3270/TN5250, SSH, X11, SCP/SFTP, TS Gateway ou encore VMware View).
La Shell Control Box s'intègre aux outils de gestion d'identité
La Shell Control Box, qui peut aussi s'intégrer aux annuaires LDAP et Active Directory de l'entreprise, permet donc de surveiller le trafic réseau en temps réel et de réaliser des actions empêchant l'exécution de certaines commandes douteuses (par exemple la commande scp financial.db via telnet), mais également directement via l'écran (par exemple des entrées de carte de crédit). En cas de détection de comportements malveillants, la connexion est bloquée et une notification e-mail est automatiquement générée. De même, la session malveillante est enregistrée au format vidéo, et grâce à un moteur de reconnaissance de caractères (fourni par Nuance) il est possible de taper un mot-clé plein texte pour retrouver par exemple n'importe quel type de texte ou commande malveillante tapée par un utilisateur indésirable ayant accédé au SI via des identifiants valides. La Shell Control Box s'intègre par ailleurs aux outils de gestion d'identités (Okta, SailPoint et Omada), de gestion des mots de passe (CyberArk, One Identity, Lieberman Software, thycotic, aux outils de ticketing BMC Remedy et Servicenow ou encore aux SIEM HP ArcSight et Splunk.
Blindspotter, présenté par Peter Gyöngyösi (responsable produit), est la solution d'analytique comportemental de Balabit adossée à la Shell Control Box. (crédit : D.F.)
Blindspotter surveille le comportement
Ces différentes fonctions analytiques sont rendues possibles grâce à Blindspotter, l'outil maison de Balabit incrémenté au-dessus de la Shell Control Box et qui ne peut fonctionner de façon indépendante. Cet outil de surveillance comportementale des utilisateurs va même plus loin, car outre l'analyse de contenus d'écran et de reconnaissance de caractères, une fonction d'analyse comportementale biométrique a également été mise en oeuvre. Objectif : identifier chaque utilisateur en fonction de sa façon de taper au clavier, de sa vitesse de frappe ou encore de la façon de déplacer sa souris. « Nous nous servons du comportement comme un élément d'authentification afin de détecter les logs inhabituels grâce à la résolution d'écran, l'analyse du déplacement de la souris, la dynamique de frappe déterminant un profil biométrique », a expliqué Peter Gyöngyösi, responsable produit de Balabit. « Nous n'avons pas besoin d'atteindre une précision de 100%, pour le moment elle atteint 82% concernant la souris ce qui est assez précis comparé aux 90% que l'on retrouve habituellement avec la reconnaissance vocale. Cela s'améliore avec le temps mais ce n'est pas une fin en soi d'atteindre une précision de 100% »
Le quartier général de Balabit se situe en plein coeur du centre d'activité économique de la capitale hongroise Budapest. (crédit : D.F.)
Concernant syslog-ng, la collecte de logs de Balabit est capable désormais de prendre en compte des sources très variées avec des cas d'usage allant de la tablette Kindle d'Amazon jusqu'au Cern qui l'a utilisé dans le cadre de son projet d'accélérateur à particules. Cet outil est d'ailleurs désormais supporté dans AWS et Microsoft Azure sur machine virtuelle. La solution, qui tient ses racines de l'open source, est proposée en version premium depuis 2007 et compte plus d'un million d'utilisateurs générant des rapports sur plus de 100 millions de serveurs. Syslog-ng est en outre également capable de remonter des événements depuis Hadoop, mongoDB, Elastic, Kafka, MapR, Hortonworks... Un opérateur mobile, dont l'identité n'a pas été dévoilée, l'utilise et génère jusqu'à 3 millions d'événements par seconde dans 22 datacenters.
Zoltan Györkö, CEO et co-fondateur de Balabit devant le « Hall of Fame » de l'éditeur dans lequel on trouve notamment le certificat de sécurité de premier niveau de l'ANSSI décerné pour la Shell Control Box dans la catégorie identification, authentification et contrôle d'accès. (crédit : D.F.)
Société privée depuis sa création en 2000, Balabit ne publie pas ses résultats financiers. Nous avons pu apprendre que l'éditeur est toutefois profitable après être passé par deux exercices dans le rouge en raison de gros investissements réalisés pour se développer. Installée dans de nouveaux locaux depuis 2012, la société hongroise compte actuellement 250 personnes, dont 70 à l'international avec des locaux en Allemagne, Angleterre, en France et à Moscou, mais également aux Etats-Unis où l'éditeur enregistre une croissance de ses revenus doublant d'une année sur l'autre alors qu'au niveau global, son chiffre d'affaires progresse « seulement » de 30% chaque année. Des objectifs ambitieux sont au programme pour les US avec dans le viseur une très probable levée de fonds. D'ici l'année prochaine une cinquantaine de recrutements sont prévus, très majoritairement outre-Atlantique. En termes de business, Balabit réalise 95% de son chiffre d'affaires à l'étranger pour 5% uniquement dans son pays natal pour un total de 1 500 clients.
Balabit met à disposition de ses employés une salle de réunion tombée du côté obscur... (crédit : D.F.)