BT

FIDO protège Netflix contre les Incidents de Sécurité

| par James Chesters Suivre 1 Abonnés , traduit par Stéphane Wojewoda Suivre 11 Abonnés le 25 mai 2015. Durée de lecture estimée: 3 minutes |

L'équipe Netflix vient de lancer FIDO - un système open source d'analyse automatique des évènements de sécurité.

Pour éviter la confusion avec l'Alliance FIDO, celui de Netflix signifie "Fully Integrated Defense Operation". Sur Github, FIDO est "une couche d'orchestration utilisée pour automatiser le processus de réponse aux incidents en évaluant, analysant et répondant aux malwares".

L'objectif premier de FIDO est de gérer les tâches manuelles requises pour évaluer les menaces des failles "0 day", tout comme le volume d'alertes qu'elles génèrent.

Visant à rendre plus efficaces et fiables les outils de sécurité, FIDO permet de réduire "les efforts manuels requis pour détecter, notifier et répondre aux attaques réseaux".

Netflix détaille :

L'idée de FIDO vient d'une simple Preuve de Concept d'il y a plusieurs années. Notre processus de gestion des alertes pour l'une de nos applications de détection des malwares consistait à créer et assigner un ticket à un ingénieur pour le suivi - typiquement un scan des systèmes impactés ou éventuellement une image du disque dur.

Le temps entre la génération de l'alerte et la résolution du ticket allait de plusieurs jours à une semaine. Notre système de helpdesk avait une API, donc notre hypothèse était que nous pouvions réduire le temps de résolution en automatisant le processus d'alerte-ticket. Le système simplissime développé pour prendre les alertes et ouvrir un ticket a permis de réduire le temps de résolution à quelques heures. Nous savions que nous étions sur quelque chose - et c'est ainsi que FIDO est né.

Netflix propose le schéma suivant pour l'architecture de FIDO :

Le comportement de FIDO commence à la réception d'un évènement par un de ses détecteurs, qui identifie une activité malicieuse ou menace, et génère une alerte pour analyse ultérieure. Elle est ensuite examinée plus en détail, avec des données brutes supplémentaires pour plus d'information et de contexte.

Pour agréger les données sur les menaces et les actions à mener, FIDO requête de nombreuses sources de données internes - avec Active Directory, LANDesk et JAMF actuellement supportés. FIDO consulte également des flux externes sur les menaces pour définir la dangerosité et pour supprimer les faux positifs.

Les données collectées sont associées et notées par FIDO - avec une notation customisable par l'organisation finale utilisant la plateforme. Enfin, FIDO détermine l'action la plus appropriée, allant de l'envoi d'un mail à l'équipe sécurité jusqu'à la désactivation d'un port réseau.

Jason Chan, directeur technique de la sécurité cloud de Netflix, a participé à un échange avec la communauté sur Reddit dans la discussion "Netflix introduit FIDO, un outil de réponse automatique des incidents de sécurité", pour éclaircir les questions sur la plateforme.

Quand on lui demande "Ne pourriez-vous pas faire la même chose avec des logiciels du marché plutôt qu'avec votre framework maison ?", Chan répond :

Oui, pour une partie. Nous avons regardé les produits vendus pour la "réponse automatisée aux menaces" ou "l'orchestraction de la sécurité".

... Les fournisseurs essayent de résoudre beaucoup de problèmes clients - il n'y a qu'une infime part qui nous intéresse. Travaillant dans la sécurité depuis les années 90, et au sein de plusieurs entreprises de sécurité, je suis familier des feuilles de route produits et de leur fonctionnement. Je suis très attentif à éviter un couplage et une dépendance de nos processus et capacités sur le coeur de la sécurité à un seul fournisseur.

FIDO est OSS et Netflix accueille les suggestions et les contributions de la communauté.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT