BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités FIDO protège Netflix contre les Incidents de Sécurité

FIDO protège Netflix contre les Incidents de Sécurité

L'équipe Netflix vient de lancer FIDO - un système open source d'analyse automatique des évènements de sécurité.

Pour éviter la confusion avec l'Alliance FIDO, celui de Netflix signifie "Fully Integrated Defense Operation". Sur Github, FIDO est "une couche d'orchestration utilisée pour automatiser le processus de réponse aux incidents en évaluant, analysant et répondant aux malwares".

L'objectif premier de FIDO est de gérer les tâches manuelles requises pour évaluer les menaces des failles "0 day", tout comme le volume d'alertes qu'elles génèrent.

Visant à rendre plus efficaces et fiables les outils de sécurité, FIDO permet de réduire "les efforts manuels requis pour détecter, notifier et répondre aux attaques réseaux".

Netflix détaille :

L'idée de FIDO vient d'une simple Preuve de Concept d'il y a plusieurs années. Notre processus de gestion des alertes pour l'une de nos applications de détection des malwares consistait à créer et assigner un ticket à un ingénieur pour le suivi - typiquement un scan des systèmes impactés ou éventuellement une image du disque dur.

Le temps entre la génération de l'alerte et la résolution du ticket allait de plusieurs jours à une semaine. Notre système de helpdesk avait une API, donc notre hypothèse était que nous pouvions réduire le temps de résolution en automatisant le processus d'alerte-ticket. Le système simplissime développé pour prendre les alertes et ouvrir un ticket a permis de réduire le temps de résolution à quelques heures. Nous savions que nous étions sur quelque chose - et c'est ainsi que FIDO est né.

Netflix propose le schéma suivant pour l'architecture de FIDO :

Le comportement de FIDO commence à la réception d'un évènement par un de ses détecteurs, qui identifie une activité malicieuse ou menace, et génère une alerte pour analyse ultérieure. Elle est ensuite examinée plus en détail, avec des données brutes supplémentaires pour plus d'information et de contexte.

Pour agréger les données sur les menaces et les actions à mener, FIDO requête de nombreuses sources de données internes - avec Active Directory, LANDesk et JAMF actuellement supportés. FIDO consulte également des flux externes sur les menaces pour définir la dangerosité et pour supprimer les faux positifs.

Les données collectées sont associées et notées par FIDO - avec une notation customisable par l'organisation finale utilisant la plateforme. Enfin, FIDO détermine l'action la plus appropriée, allant de l'envoi d'un mail à l'équipe sécurité jusqu'à la désactivation d'un port réseau.

Jason Chan, directeur technique de la sécurité cloud de Netflix, a participé à un échange avec la communauté sur Reddit dans la discussion "Netflix introduit FIDO, un outil de réponse automatique des incidents de sécurité", pour éclaircir les questions sur la plateforme.

Quand on lui demande "Ne pourriez-vous pas faire la même chose avec des logiciels du marché plutôt qu'avec votre framework maison ?", Chan répond :

Oui, pour une partie. Nous avons regardé les produits vendus pour la "réponse automatisée aux menaces" ou "l'orchestraction de la sécurité".

... Les fournisseurs essayent de résoudre beaucoup de problèmes clients - il n'y a qu'une infime part qui nous intéresse. Travaillant dans la sécurité depuis les années 90, et au sein de plusieurs entreprises de sécurité, je suis familier des feuilles de route produits et de leur fonctionnement. Je suis très attentif à éviter un couplage et une dépendance de nos processus et capacités sur le coeur de la sécurité à un seul fournisseur.

FIDO est OSS et Netflix accueille les suggestions et les contributions de la communauté.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT