En direct de San Francisco. Solution concurrente du fameux Snort de Sourcefire (dans le giron de Cisco depuis 2013) pour l’analyse des paquets et la détection d’intrusion sur le réseau, Corelight gère l'inspection approfondie des paquets sur les réseaux avec une appliance physique ou virtuelle. Dotée d’une interface graphique, la solution est plutôt facile à déployer et à utiliser. Corelight repose en fait sur la plateforme de monitoring open source Zeek, précédemment connue sous le nom de Bro (une référence au Big Brother de G.Orwell) et développée en 1994 par Vern Paxson aujourd’hui employé de Corelight. Celle-ci peut effectuer des analyses de trafic, du forensic (collecte et conservation d'artefacts numériques à utiliser dans les procédures judiciaires), des analyses au niveau de l'application, le suivi des fichiers, et permettre à quiconque d'accéder à la moindre information saisie. Mieux encore, elle le fait à l'aide d'une analyse dynamique, ce qui signifie que vous pouvez facilement voir les utilisateurs, les fichiers et les nœuds d'extrémité à travers différentes connexions et sessions. Bro vient aussi avec un langage de scripts. Le logiciel fonctionne sous Linux, FreeBSD et Mac. Contrairement à la plupart des autres projets open source qui ont tendance à mourir de négligence dans l'année qui suit leur sortie, Zeek a toujours un écosystème important et solidaire.

La spécialité de Corelight est d'agir en tant que « middleware » matériel entre les agrégateurs de paquets, en ajoutant et transformant les données, puis en envoyant les données transformées en amont vers les autres dispositifs traditionnels d'enregistrement, d'alerte et de détection comme les systèmes de gestion des informations et des événements de sécurité (SIEM). Il transforme les paquets en données plus utiles. « Les logs hétérogènes sont un vrai casse-tête », nous a expliqué le CEO de Corelight Greg Bell.

Vern Paxson à l'origine de l'outil de supervision Zeek (anciennement Bro) est aujourd'hui chief scientist chez Corelight. (Crédit S.L.)

Comprendre les données brutes du réseau

L'une des meilleures façons de transformer les données est d'attribuer des ID uniques par session aux connexions et aux fichiers, ce qui permet à ces utilisateurs et fichiers d'être suivis sur différentes connexions - non seulement dans le produit Corelight, mais aussi dans les produits en amont. Il est ainsi possible de capturer et reconstruire des fichiers spécifiques et de larges catégories de fichiers directement à partir du flux de paquets. On peut également ajouter différents scripts d'analyse pour détecter des choses telles qu'une augmentation soudaine de l'entropie dans différents flux de fichiers, ce qui pourrait indiquer une attaque de type ransomware. « Nous transformons les données brutes du réseau en logs facilement utilisables », nous a indiqué Greg Bell. « Et, ce, même si le trafic est chiffré ». Corelight exploite des composants FPGA dans ses appliances pour accélérer l’analyse des paquets, et offrir des performances de 25 Gbit/s avec son unité AP 3000. En combinant ses appliances, la société est montée à 700 Gbit/s avec un organisme public aux USA et à 300 Gbit/s avec un client en Europe.

Les solutions de Corelight reposent sur Zeek.