Sécurité IT : du machine learning pour les DNS

Big dataBusiness intelligenceData-stockageRisquesSécurité

HP a développé une plate-forme capable d’identifier des systèmes infectés en analysant automatiquement de larges volumes d’événements fournis par les serveurs DNS d’une entreprise.

Dans quelle mesure l’analyse des données de sécurité produites par les systèmes informatiques peut-elle donner aux entreprises davantage d’agilité dans la découverte des menaces ?

C’est l’une des problématiques abordées par HP dans le cadre de sa conférence Protect organisée la semaine passée aux États-Unis.

Le groupe est revenu – entre autres – sur ses développements dans le domaine de l’apprentissage automatique (machine learning)… et sur les applications de cette technologie en matière de protection des utilisateurs, des terminaux et des applications.

La conférence Protect aura été l’occasion d’annoncer, pour le 15 septembre 2015, l’ajout d’une brique dans l’offre ArcSight, qui regroupe plusieurs solutions exploitant le big data dans l’optique de prévenir les attaques informatiques.

La brique en question est baptisée DMA, pour « DNS Malware Analytics ». Elle se présente comme une plate-forme capable d’identifier des systèmes infectés en analysant automatiquement de larges volumes d’événements fournis par les serveurs DNS de l’entreprise.

Du point de vue technique (voir la documentation au format PDF), une première appliance va se connecter aux DNS sur site pour repérer le trafic anormal. Une analyse supplémentaire est alors effectuée dans le cloud pour prioriser les événements de sécurité à traiter et émettre des tableaux de synthèse.

L’intérêt d’une telle architecture réside notamment dans le fait qu’elle ne sature pas les outils de gestion des événements de sécurité (SIEM) avec des logs DNS, tout en étant, selon HP, capable de traiter plusieurs millions de paquets par jour. Quant à l’analyse automatique, elle semble particulièrement pertinente à l’heure où beaucoup d’applications réutilisent du code, open source en premier lieu.

Les cibles identifiées comme infectées sont alors isolées avant leur connexion au réseau. DNS Malware Analytics peut par ailleurs être intégré au SIEM ArcSight pour y corréler d’autres données contextuelles, produire des alertes et proposer des actions appropriées.

HP évoque « un nombre de faux positifs [divisé par 20 ] par rapport aux autres offres de détection de malware sur le marché ». Tout en soulignant le potentiel du machine learning pour accélérer le traitement des alertes (moins de 5 % seraient effectivement traitées à l’heure actuelle).

Autre produit dévoilé dans le cadre de la conférence Protect : un nouveau moteur d’analyse pour le service de test d’applications HP Fortify on Demand. Le principe : examiner le code afin d’améliorer la sécurité des logiciels tout en réduisant la quantité d’éléments demandant l’analyse d’un spécialiste.

Comme le note eWeek, le timing est particulier : Cisco, qui monte également en puissance sur la sécurité,a récemment annoncé l’acquisition d’OpenDNS.

Crédit photo : kentoh – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur