L'histoire de Barracuda Active Threat Intelligence

Version imprimable, PDF et e-mail

Il y a quelque temps, lors d'une de nos sessions de brainstorming, pendant laquelle les équipes ont discuté du prochain niveau d'évolution de nos produits, il est devenu évident qu'une analyse poussée des données à grande échelle serait nécessaire pour détecter les menaces modernes et émergentes, et s'en prémunir. Il fallait que cette analyse anticipe les risques encourus par les clients, et ce, de manière rapide et efficace afin de bloquer toute action malveillante.

En analysant les exigences, nous avons constaté que pour fournir une protection contre les pirates avancés comme les bots, nous devions créer une plateforme capable d'analyser le trafic des sessions Web, de le corréler avec les données de toutes les sessions, et ce, pour de nombreuses choses, dans l'ensemble de la base de clients. Nous avons également observé que de nombreuses parties du système devaient être en temps réel, d'autres en temps quasi réel et que d'autres encore pouvaient avoir une phase d'analyse beaucoup plus longue.

Il y a quelques années, nous avons lancé Barracuda Advanced Threat Protection (BATP) pour la protection contre les attaques de malwares de type zero-day dans la gamme de produits Barracuda. Cette fonctionnalité (qui en plus du sandboxing, analyse les fichiers pour détecter les malware à l'aide de plusieurs moteurs) a été ajoutée dans les produits de sécurité des applications de Barracuda pour sécuriser des applications telles que les systèmes de traitement des commandes où les fichiers sont téléchargés par des tiers. Il s'agissait de la première tentative d'utilisation d'une couche cloud pour effectuer une analyse avancée qu'il aurait été difficile d'intégrer dans des appliances Web Application Firewall.

Bien que la couche cloud BATP puisse gérer des millions d'analyses de fichiers, nous avions besoin d'un système capable de stocker une quantité importante de métadonnées afin de les analyser et détecter les menaces modernes et évolutives. Cela fut une première étape vers la création de la prochaine plateforme de suivi des menaces.

Comment fonctionne le suivi actif des menaces

La plateforme de suivi actif des menaces de Barracuda est notre solution au problème. Cette plateforme repose sur un gigantesque data lake, qui peut gérer le traitement des flux et le traitement par lots de données. Elle traite des millions d'événements par minute dans toutes les régions du monde, et fournit des renseignements utilisés pour détecter les bots et les attaques côté client, ainsi que des informations pour se protéger contre ces vecteurs de menace. Le suivi actif des menaces de Barracuda est conçu avec une architecture ouverte capable d'évoluer rapidement pour répondre aux nouvelles menaces.

Aujourd'hui, la plateforme de suivi actif des menaces de Barracuda reçoit des données des moteurs de sécurité du Web Application Firewall et du WAF-as-a-Service de Barracuda, ainsi que d'autres sources. Lorsqu'ils sont reçus, les événements sont complétés par des flux de menaces obtenus par crowdsourcing et d'autres bases de données de renseignements. L'analyse détaillée de ces événements, à la fois individuellement et dans le cadre d'une session utilisateur, permet de classer les clients en tant qu'êtres humains ou bots.

Les pipelines d'analyse des données utilisent divers moteurs et modèles de machine learning pour analyser les multiples aspects du trafic et formuler leurs recommandations, qui sont ensuite réconciliées pour produire le verdict final.

Les façons dont le suivi actif des menaces contribue à protéger vos applications

En plus de prendre en charge toutes les analyses requises pour Advanced Bot Protection, la plateforme de suivi actif des menaces est utilisée dans nos dernières offres : la protection côté client et le moteur de configuration automatisé.

Le suivi actif des menaces concerne toutes les ressources externes pouvant être utilisées par l'application, comme un JavaScript externe ou une feuille de style. Le suivi des ressources externes nous permet de connaître la surface des menaces et de fournir une protection contre des attaques comme Magecart, entre autres.

Les métadonnées collectées étant extrêmement riches, nous pouvons en tirer des informations supplémentaires pour aider les administrateurs en leur fournissant des recommandations de configuration basées sur le trafic réel arrivant sur leurs applications.

Cette plateforme a joué un rôle essentiel dans le développement des fonctionnalités de protection nouvelle génération dont nos clients ont besoin. Nous continuons de tirer parti de cette plateforme évolutive pour recueillir des informations détaillées sur les modèles de trafic, l'utilisation des applications, et plus encore. Ne manquez pas les articles de blog de nos équipes d'ingénierie qui vous expliqueront comment nous avons développé le suivi actif des menaces de Barracuda.

Remonter en haut de page
Tweeter
Partager
Partager