La startup Metaflows, basée à San Diego, a présenté une plateforme pour unifier la sécurité réseaux. MetaFlows Security System (MSS) comprend une partie logicielle installée en local sur des serveurs standards et un service cloud sur lequel sont stockés les résultats. Les capteurs de MSS enregistrent les événements sur le réseau local et transmettent les données correspondantes au cloud de MetaFlows où elles sont analysées et triées selon les priorités. Les clients peuvent consulter ces résultats à tout moment via une interface web sécurisée.

Les capteurs peuvent être déployées sur des matériels distincts ou être installés sur le matériel existant du client. Ils tournent sur une base Linux associant technologies propriétaire et Open Source. La partie logicielle comprend un système de détection des intrusions (Intrusion Detection System - IDS) BotHunter ; un logiciel de SRI International permettant d'éviter la prolifération de faux positif ; le système de prévention et de détection des intrusions Open Source Snort, parmi les plus utilisé à travers le monde, qui bénéficie des signatures génériques du projet Emerging Threats ; les extensions Flow, NetFlow, sFlow et cFow pour la surveillance du trafic sur le réseau ; des outils de gestion des historiques compatibles OSSEC (Open Source Security), plus les applications MetaFlows propriétaires. La startup propose également un forfait pour la mise en place d'un client « honeypot » qui agit comme un leurre pour les menaces sur le réseau interne, indispensable dans la détection et l'analyse des nouvelles menaces qui rôdent sur les réseaux informatisés. Cette fonctionnalité est optionnelle.

« Comparé aux produits IDS et IPS traditionnels, l'un des principaux avantages du système MSS est le faible coût de son déploiement et de son entretien, » a déclaré Livio Ricciulli, PDG de MetaFlows. Ces économies sont en parti dues à l'utilisation de logiciels Open Source, mais grâce également aux améliorations apportées par MetaFlows. C'est le cas par exemple des modifications réalisées sur la bibliothèque d'enregistrement des paquets PF_RING qui permet le support du multithreading sur les instances Snort intégrant plusieurs processeurs multi-coeurs. De cette façon les capteurs de MetaFlows peuvent supporter un débit soutenu de 800Mbit/s avec un processeur Intel Core i7 à huit coeurs (coût : environ 1000 dollars). Comparativement, sans la transformation de MetaFlows, cette même bibliothèque permettrait d'atteindre un débit maximum de seulement 100 Mbit/s.

Un ranking des menaces à la Google et un coût moindre

Côté serveur, la startup a développé un algorithme de prédiction des menaces qui ressemble à celui utilisé par le moteur de recherche de Google pour classer les sites dans ses pages de résultats. Cette technologie est utilisée pour hiérarchiser les événements, et accroît donc la productivité des analystes en sécurité. Selon le PDG de MetaFlows, les tests effectués par l'entreprise ont montré qu'avec une solution IDS traditionnelle, un analyste doit décortiquer entre 20 et 30 incidents avant de trouver celui qui exige une action. Cependant, parce que l'algorithme prédictif de MetaFlows utilise des statistiques anonymes de tous les clients pour identifier les événements les plus graves, un analyste aura à scruter que six ou sept incidents seulement afin de trouver celui qui demande une intervention. De fait, le fonctionnement de la plate-forme elle-même, qui traite ensemble et en un même lieu les données de tous les capteurs déployés dans les réseaux informatiques d'une seule entreprise, permet une meilleure collaboration entre les analystes.

Selon Livio Ricciulli, « un appareil IDS bas de gamme coûte 20 000 dollars, l'abonnement à un service de surveillance coute 4 000 dollars par an et l'emploi d'un administrateur affecté à ce travail de surveillance, 80 000 dollars par an. » Comparativement, l'appareil de MetaFlows coûte 2 000 dollars, l'abonnement 99 dollars par mois et le salaire de l'administrateur 50 000 dollars environ.