Retour sur l'ISS day 2016

Technologies de Sécurité
Retour sur l'ISS day 2016

Le 1er juin à Lille au eu lieu la 2ème édition de l’ISS Day, une journée de découverte entre professionnels autour des nouvelles problématiques de sécurité. Malgré les grèves et des conditions climatiques compliquées cette seconde édition a rencontré un réel succès, avec la participation de nombreux professionnels de la sécurité (RSSI, etc.) et des présentations de nos partenaires.

Voici un petit résumé de ces présentations :

ThreatQuotient : soc 2.0 ou comment positionner la threat intelligence au centre des opérations de sécurité
La Threat Intelligence est un terme très à la mode, et cette présentation a permis  de faire le point sur ce domaine en forte croissance. Pour tenter de simplifier ce concept, la Threat Intelligence consiste à disposer de « renseignements » sur les attaques et les attaquants, afin de pouvoir qualifier plus précisément les attaques et les traiter de façon plus efficace. Les « Threat Intelligence Platform », telles que celle proposée par ThreatQuotient, permettent d’alimenter et de s’interconnecter avec des SOC, afin notamment de diminuer les faux positifs et d’augmenter la réactivité. On passe ainsi d’un SOC classique, basé sur les événements, à un « Intelligence Driven SOC », plaçant l’intelligence au cœur des processus de traitement des événements en les enrichissant et les conceptualisant avant de les traiter.

L’avis d’Advens : la Threat Intelligence apporte une véritable valeur ajoutée dans la gestion opérationnelle de la sécurité et en particulier dans l’administration d’un centre opérationnel de sécurité. Partie intégrante du SOC, il permet de réduire les temps de traitement, d’analyse et de réaction des équipes opérationnelles.

 

Checkmarx : N’ATTENDEZ PAS LA FIN…POUR SÉCURISER VOS APPLICATIONS

La sécurité des applications est devenue un enjeu majeur dans la sécurité de l’information, et nombreuses sont les solutions pour élever le niveau de sécurité de ces composants critiques. Checkmarx est un outil de revue de code qui existe depuis 10 ans, et qui contrairement à d’autres solutions a été conçu pour être utilisé par des développeurs, en s’intégrant dans leur environnement de travail. La solution est compatible avec une vingtaine de langages de développement, et peut être utilisée sur des portions de code même si l’application n’est pas terminée. De plus il est possible de faire du scan incrémental, réduisant ainsi les temps de calcul et donc participant à l’agilité et à l’efficacité des revues.

L’avis d’Advens : La solution CheckMarx est un composant essentiel de notre offre ASA Audit. Elle permet d’apporter la sécurité dès la conception de l’application, tout au long du cycle de développement, et de façon itérative. Avantage immédiat : le coût de remédiation des vulnérabilités d’une application en production s’en trouve considérablement réduit.

 

Palo Alto - MALWARES AVANCÉS : LA PRÉVENTION N’EST PLUS UNE OPTION !

Une présentation non pas axée sur les produits de cet éditeur mais sur la définition des « attaques avancées » et plusieurs pistes sur les moyens de se protéger. On y apprend notamment que les attaquants choisissent toujours les solutions les plus simples, les plus efficaces, et surtout les plus rentables. Leur règle d’or est « No Rules, Just  Profit ». Par exemple les failles 0 day sont finalement assez peu exploitées car elles sont très onéreuses sur le Dark Web, donc un attaquant doit être sûr qu’il pourra s’enrichir suffisamment pour faire un bénéfice substantiel. 

Enfin les ransomwares sont décrits comme « l’évolution ultime » de la Cyber Keychain, car : de nombreuses variantes existent, ils sont automatisés, ils ciblent aussi bien les grands comptes que les TPE et PME, et ils sont multi plateforme. Il s’agit des attaques les plus fréquentes aujourd’hui, il est donc indispensable de s’en protéger.

L’avis d’Advens : Déjà au catalogue Advens en mode MSS pour sa partie Next Gen Firewall, Palto Alto continue d’étoffer sa gamme de solutions afin de répondre aux nouveaux risques auxquels nous devons tous faire face. L’utilisation de produits de protection contre les attaques avancées, les ransomwares, est indispensable aujourd’hui et doit s’accompagner de processus interne de gestion de la sécurité.

 

Vulture - NEXT GEN WAF : DÉTECTER ET BLOQUER LES FLUX ANORMAUX GRÂCE AU MACHINE LEARNING ET AU BIG-DATA

L’équipe Vulture a présenté la version 3 de son produit, son WAF Open Source. Outre des fonctionnalités innovantes comme le support du HTTP2 ou une architecture NOSQL unique sur le marché, l’implémentation du Machine Learning au sein du produit,  transforme le WAF Vulture en un véritable « WAF Next Gen » unique sur le marché. En effet avec très peu de configuration et grâce à de l’apprentissage, Vulture 3 est capable de détecter automatiquement des évènements anormaux, avec un taux de faux positif extrêmement faible. Couplé à la solution MySOC, cela en fait donc un outil redoutable pour détecter des incidents de sécurité.

 

CloudLock : CASB, ou comment adresser les nouveaux risques du cloud

85% : C'est le nombre d'entreprises qui utiliseront une solution CASB à l'horizon 2020 d'après le cabinet Gartner.  Aujourd'hui, la sécurisation du Cloud est devenue un des enjeux majeurs de la sécurité, impliquant des problématiques sensiblement différentes du modèle "infrastructure interne". CloudLock propose ainsi une sécurisation des principaux outils cloud, allant d'applications majeures présentes sur le marché (dropbox, google drive etc..) aux solutions développées en interne par les entreprises.  Avec son système de déploiement sans aucune installation physique, CloudLock est déployable en 5 minutes et peut intégrer un panel important de solutions de sécurité, allant des firewalls aux SIEMs en passant par les proxies.

L'avis d'Advens : une solution facile à déployer et répondant aux enjeux à court et moyen terme avec en prime des partenariats clés avec les géants du web (Amazon, Google, Dropbox...) permet à CloudLock de devenir un acteur majeur pour tout type d'entreprise, que ce soit pour des besoins internes où le développement d'offres liées de près ou de loin à des technologies Cloud.

 

Logpoint : Le SIEM, est-ce vraiment si complexe ? 

Toujours dans le domaine du SOC, les technologies SIEM sont devenues incontournables pour permettre aux équipes opérationnelles d'obtenir de la visibilité sur les évènements quotidiens d'un SI en perpétuel expansion (multiplication des assets). Au sein d'un marché historiquement dominé par les éditeurs nord-américains, Logpoint, société danoise créée en 2001, souhaite apporter un œil neuf sur la question.
Avec un modèle économique innovant (coût au nombre de nœuds, et non au nombre d'évènements) et une gestion facilité des étapes de collecte, de normalisation (service de parsing sur demande et sans coût additionnel) et d'indexation des évènements (s'appuie sur MongoDB), Logpoint a pour volonté de simplifier au maximum l'usage du SIEM, afin de permettre aux équipes du SOC de se focaliser sur le contrôle de l'IT (surveillance globale), la prise de décision (indicateurs pertinents) et le bon respect de la PSSI (réponse et corrections). 

L'avis d'Advens : Logpoint, via sa solution SIEM certifiée EAL3+, représente une alternative européenne intéressante pour adresser les besoins de gestion des évènements de sécurité. A noter que, comme judicieusement rappelé par l'éditeur, toute solution de SIEM, afin d'être pérenne, doit vivre avec des ressources disponibles et des process cohérents.

 

Nexthink : Sécurité, que font les utilisateurs ?

Qui n'a jamais rêvé de pouvoir analyser les comportements anormaux de son système d'information, de manière non intrusive et avec une capacité d'analyse importante ? Nexthink, société suisse fondée en 2004, propose une solution de End-User IT Analytics afin :

  • d'améliorer la sécurité et la détection des menaces à l'aide d'une approche unique
  • d'augmenter la qualité et les performances des services informatiques au quotidien
  • d'optimiser la gestion des projets informatiques en évitant les erreurs couteuses

Pour ce faire, l'outil analyse l'intégralité des applications et binaires exécutés, ainsi que les connexions aux réseaux associées, à partir du poste de travail de l’utilisateur. Il collecte ensuite et analyse en temps réel toutes les données disponibles depuis le poste pour l’ensemble des applications et activités ou problèmes réseaux liés aux services informatiques. L’analyse des Systèmes d’information (SI) centrée sur l’utilisateur final fourni par Nexthink permet de mieux planifier, exécuter et mesurer les projets de transformation et leurs résultats. En effet, Nexthink peut précisément mesurer l’impact de n’importe quel changement (système d’exploitation, applications, virtualisation, configuration etc.) sur les utilisateurs finaux.

L'avis d'Advens : Présent dans le catalogue MSS d’Advens, cet outil réconcilie les fonctions Achat, Sécurité et HelpDesk. Véritable outil d’analyse de votre IT, récompensé par l’ANSSI avec le prix Blaise Pascal 2016 pour la Gouvernance des systèmes d’information,  Nexthink propose une analyse permanente et détaillée des activités des postes de travail et de leurs contenus.

 

Darktrace : Nouvelle approche Cyberdéfense basée sur l’auto-apprentissage (Machine Learning)

Malgré une arrivée récente sur le marché (création en 2013 à Cambridge, Royaume-Uni), Darktrace, via sa solution Entreprise Immune System (EIS), s'est très rapidement fait connaître dans le domaine du machine learning et de la threat intelligence : Darktrace totalise en effet aujourd'hui plus de 1000 installations de son appliance à travers le monde.
Darktrace EIS est une solution d'analyse des menaces et des comportements déviants s'appuyant sur les techniques bayésiennes d'auto-apprentissage non supervisé. Positionnée en écoute sur le réseau client afin d'obtenir une vue d'ensemble de celui-ci (via analyses diverses au niveau AD, authentifications, flux de communications, etc.), EIS réalise, en guise de première étape d'apprentissage, une cartographie exhaustive du parc informatique monitoré. Cela lui permet de tendre progressivement vers une analyse temps réel des menaces survenant sur le SI. Il est également possible de réaliser des analyses forensiques en rejouant virtuellement des évènements passés, permettant par exemple ainsi de cibler les causes et le scénario précis d'une attaque déjà survenue.

L'avis d'Advens : une solution disposant d'un très fort potentiel et permettant assurément de faciliter le travail quotidien d'analyse des équipes opérationnelles. On apprécie notamment l'ergonomie de l'IHM avec ses visuels (mappemonde zoomable et topologie réseau graphique) et la possibilité de réaliser des analyses verticales (temporelles) ou horizontales (mise en relation d'évènements grâce au machine learning).

 

Varonis : Êtes-vous prêts à faire face aux attaques de type cryptolocker?

Bien qu'existant depuis 1989, c'est depuis le début de la décennie que les cryptolockers sont devenus une des principales menaces pour les systèmes d'information des entreprises, et ce dans tous les domaines, allant de la santé à l'industrie en passant par la grande distribution. Sa facilité de déploiement et le manque de protection dont souffrent les entreprises en ont fait une attaque extrêmement plébiscitée par les pirates informatiques. Le principe? Un programme malveillant chiffrant toutes les données auxquelles il a accès et demandant une rançon pour chaque fichier que l'utilisateur veut récupérer (d'où son nom de ransomware ou encore rançongiciel).
Afin de se prémunir de ce genre d'incidents, une parfaite optimisation du parc informatiques, que ce soit au niveau des droits d'accès ou des remontées d'événements anormaux, peut s'avérer très précieuse. L'entreprise américaine Varonis, fondée en 2005, propose, via son outil Datalert, d'analyser les comportement utilisateurs afin de :

  • Créer, collecter et analyser les métadonnées
  • Identifier les assets les plus critiques automatiquement, les comportements normaux et établir une baseline de comportements
  • Identifier les comportement anormaux grâce à des algorithmes de machine learning et des ensembles de règles comportementales
  • Alerter les anomalies comportementales et les activités suspicieuse

Ces informations permettent de monitorer rapidement les actifs critiques en cas d'incidents et réduire considérablement le temps nécessaire à la détection, mais également la portée des incidents et l'étendue du parc touché..

L'avis d'Advens : Vu le contexte actuel et la tendance des ransomwares, une solution comme celle de Varonis est en passe de devenir rapidement indispensable pour les entreprises possédant un parc important.

Timothé Coulmain, Consultant Sécurité, Advens