06/05/2015

NetFlix libère FIDO son outil de réponse automatisé aux incidents de sécurité

Le géant américain de la vidéo à la demande Netflix, annonce la libération du code source de son outil de gestion d'incidents de sécurité baptisé FIDO (Fully Integrated Operation Défense). Faisons ensemble le tour du propriétaire de ce fidèle chien de garde des infrastructures de Netflix.

FIDOa pour principal objectif l'analyse du système afin d'identifier automatiquement les événements de sécurité et ainsi répondre aux incidents qui y sont liés. Il recherche les différentes menaces et les classe par catégories. Ainsi, les menaces détectées sont priorisées par criticité, entraînant ainsi un important gain de temps.

Netflix a identifié une grande perte de temps à résoudre les problèmes liés à la gestion des tickets d’incidents issus des bureaux internes. Pour pallier à ce manque d’efficience,FIDO collecte des informations relatives aux incidents de sécurité issus des pare-feu, des systèmes anti-malwares et des systèmes de détection d'intrusions. Les informations recensées sont alors évaluées par l'outil qui détermine le degré de gravité de chacun d'eux en ayant recours à un procédé dénommé « scoring ».

Architecture de FIDO

Capture1_fido-workflow
Détection

La première étape du travail de FIDO concerne la détection des évènements. L’ensemble des détecteurs est composé à la fois de produits standards (par-feux, IDS, anti-malware) et de produits personnalisés développés en interner pour percevoir les menaces. Ces détecteurs génèrent des alertes ou messages que FIDO ingère pour un traitement ultérieur. FIDO fournit méthodes pour ingérer les événements : via une API, une base SQL, des fichiers de log ou email. FIDO supporte d’ailleurs une grande variété de détecteurs (i.e. Cyphort, ProtectWise, CarbonBlack/Bit9). D’autres détecteurs sont en cours de développement.

Analyse et enrichissement

La seconde phase du travail de FIDO concerne l’analyse des événements et l’enrichissement des données événementielles avec d’autres sources de données internes ou externes. Les événements de sécurité bruts ont peu de contexte associé, cette phase permet de supplémenter les événements bruts pour permettre une prise de décision plus précise par la suite.

Le premier composant de cette phase est l’analyse de la cible de l’événement : par exemple un ordinateur ou un utilisateur. Quel est le système d’exploitation de la machine ? Cette machine est-elle dotée des dernières mises à jour de sécurité ? Cette machine est elle dans la zone de paiement ?... Les réponses à ces questions permettent d’évaluer plus finement la menace et de déterminer quelles sont les actions à mener, avec niveau d’urgence cohérent. Pour collecter toutes ces informations, FIDO requête différentes sources internes aujourd’hui supportées par Active Directory, LANDesk, et JAMF.

En plus de requêtes internes, FIDO consulte les flux d’informations externes sur les menaces sen cohérence avec l’événement analysé. L’utilisation de flux de menaces aide FIDO à déterminer si un événement généré peut être un faux positif ou une menace sérieuse. En quelque sorte FIDO se base systématiquement sur une vérification de l’information et pas une confiance à priori. Les flux supportés à ce jour sont ThreatGrid et VirusTotal.

Corrélation et notation

Une fois les données internes et externes collectées sur l’événement et la cible, FIDO cherche à corréler les informations avec d’autres données qu’il a déjà traitées et notées par le passé. Le composant de corrélation a plusieurs fonctions. Il additionne le nombre de détecteurs ayant identifié un même problème, ce qui implique une criticité plus grande. Si un précèdent événement fait déjà l’objet d’une action ou si une correction est déjà en cours d’application,  alors une simple notification sera envoyée/

 

Capture2_fido-scoring

 

La notation est multidimensionnelle et totalement personnalisable. FIDO permet aux utilisateurs de faire correspondre la note d’une menace avec les besoins de chaque organisation. Il gère séparément le système de notation pour les machines, les utilisateurs et les menaces avant d’additionner le tout dans un score global. Le système permet de traiter les alertes différemment pur une zone de paiement en ligne, le service client pour les laboratoires de développement par exemple.

Notification et application

Dans cette dernière phase, FIDO détermine et exécute l’action suivante à mener fondée sur les événements ingérés, les données collectées et le score calculé. Cette action peut être simplement l’envoi d’un email à l’équipe de sécurité avec les détails des informations collectées, mais FIDO implémente aussi des mesures proactives plus complexes. En effet il peut désactiver par exemple un compte utilisateur, terminer une connexion VPN, ou désactiver un port réseau. Les mesures actuelles prises par FIDO sont très liées aux activités spécifiques de Netflix, elles ont donc été retirées du la version publiée vers la communauté open source. Ces logiques d’actions seront publiées ultérieurement par Netflix, réimplémentées avec une stratégie plus modulaire et compréhensible par l’utilisateur final, pour être personnalisées.

Ouverture et feuille de route

Netflix utilise FIDO depuis plus de quatre ans et prévoit de continuer son développement avec de nouvelles fonctionnalités. Du côté de l’interface utilisateur, Netflix prévoit de construire une interface pour l’administration avec des tableaux de bord et une assistance pour l’application des mesures de sécurité. L’intégration d’outil externe inclut PAN, OpenDNS, et SentinelOne. Netflix annonce par ailleurs travailler à l’amélioration de la corrélation et détection des machines. La firme espère que l’ouverture en open source permettra de mutualiser les contributions à l’avenir pour rendre l’outil de plus en plus efficient.

 

Sourec : http://techblog.netflix.com

Actualités