Un leadership continu, une sécurité ouverte et transparente

blog-open-and-transparent-security-720x420-A.png

Cela fait maintenant un moment que la solution Elastic Security est ouverte, et pour cause, ses racines sont ancrées dans l'open source et son développement est ouvert. Le lancement de notre SIEM en 2019 y a également contribué. En 2020, nous sommes allés encore plus loin en termes d'ouverture, avec le lancement de notre référentiel ouvert detection-rules. Notre but : collaborer avec nos utilisateurs et faire preuve de transparence quant à la façon dont nous protégeons nos clients. Ce référentiel est axé sur les cas d'utilisation de notre SIEM et de l'analyse de la sécurité. À l'époque, il n'incluait pas encore les artefacts d'Elastic Endpoint Security. Aujourd'hui, nous poursuivons sur notre lancée avec l'ouverture d'un nouveau référentiel public : protection-artifacts..

Dans le référentiel protections-artifacts, vous trouverez la logique de protection utilisée par Elastic Endpoint Security pour bloquer les menaces sur les systèmes d'exploitation Windows, macOS et Linux. Celle-ci inclut notamment des règles de protection contre les comportements malveillants écrites en langage EQL, ainsi que des signatures YARA appliquées aux fichiers et à la mémoire. Il ne s'agit pas d'un sous-ensemble ou d'un échantillon, mais bien de l'ensemble complet de règles et de signatures qui bloquent activement les menaces. Au fur et à mesure que nous mettrons à jour ces fonctionnalités dans notre produit, vous constaterez les changements apportés et verrez de manière transparente comment ces fonctionnalités identifient les menaces et les comportements à bloquer.

Une approche transparente

Alors que le partage de la logique de détection est devenue monnaie courante chez les fournisseurs de SIEM, ce n'est pas le cas pour les produits relatifs aux points de terminaison. Pour nous, cet état de fait doit changer. La détection et la réponse aux points de terminaison (EDR) et les plateformes de protection aux points de terminaison (EPP) sont typiquement des boîtes noires, dans le sens où de nombreux fournisseurs attendent des utilisateurs qu'ils tolèrent un manque de données et d'informations exploitables. Cette façon de procéder n'aide pas les utilisateurs à se former, ni à gagner en autonomie. 

En ce qui nous concerne, nous considérons notre relation avec les utilisateurs comme un partenariat. Dans cette relation, la transparence est une condition sine qua none pour un succès mutuel. Le fait de se comporter ainsi devrait être évident, et cette pratique devrait être universelle. Après tout, les solutions de sécurité sont conçues pour atténuer les risques, et la seule façon dont un utilisateur peut s'assurer qu'un fournisseur s'efforce d'atténuer les risques, c'est que le fournisseur fasse preuve de transparence quant à la façon dont il protège un environnement. Grâce à la transparence, nos utilisateurs peuvent comprendre les forces de notre produit et peuvent optimiser leurs propres efforts pour combler les lacunes éventuelles qui présentent de véritables risques pour eux.

[Article associé : Forrester classe Elastic comme acteur majeur (Strong Performer) dans le domaine de la protection et la réponse aux points de terminaison]

La résolution des problèmes

Nous sommes convaincus que l'ouverture et la transparence sont les approches qui conviennent le mieux aux utilisateurs et qu'elles amélioreront la sécurité de tous à long terme. Nous avons mûrement réfléchi à notre décision. Par esprit de transparence, nous partageons notre point de vue sur quelques aspects négatifs que certains pourraient soulever :

Nous ferons probablement l'objet d'un plus grand nombre de critiques de la part du public et d'une surveillance plus poussée en raison de notre transparence. Nous n'avons aucune raison de cacher la façon dont fonctionne un produit, à partir du moment où notre objectif est de donner plus d'autonomie à nos utilisateurs et de les protéger. Les produits Elastic sont déjà disponibles de manière ouverte, et chaque jour, des milliers de personnes les téléchargent et les testent, notamment des chercheurs fantastiques. Nous en sommes très heureux. Nous espérons que la majorité des chercheurs nous feront part de leurs retours de manière collaborative si des lacunes en matière de détection sont découvertes. 

Nous ne nous attendons pas à ce que tout le monde adopte cette approche. Certains essayeront probablement de s'attirer les faveurs du public en mettant une lacune en avant pour nous mettre en difficulté. Nous accueillons les critiques et les commentaires à bras ouverts. Notre but est de nous améliorer en permanence, et nous vous montrerons comment nous nous y prenons. 

Certains estimeront peut-être qu'il sera plus facile pour les utilisateurs malveillants de pirater nos produits. D'autres penseront que, si un produit est fermé, même des hackers motivés éprouveront des difficultés à comprendre comment ce produit détecte et bloque les menaces. C'est faux. Dans tous les cas, les attaquants parviendront à obtenir la logique, que ce soit en la vidant à partir d'un disque ou d'une mémoire sur le point de terminaison, ou au moyen d'une technique d'estimation d'erreurs sur le produit. Une sécurité obscure n'est pas une sécurité. Pour nous, rien ne vaut la mise en place de protections capables de résister aux attaquants lorsque ceux-ci connaissent la logique sous-jacente d'une protection ou d'une règle spécifique. Nous ciblons des techniques dont les attaquants auraient du mal à se passer, et nous mettons en place de nombreuses couches de protection. Ainsi, si l'une d'entre elles est contournée, plusieurs autres suivent.

Les concurrents risquent de copier notre logique de détection. En utilisant une approche ouverte, notre objectif est de permettre à nos utilisateurs de gagner en autonomie et d'améliorer leur sécurité de manière significative grâce à une plus grande transparence. Le but est de faire avancer tout le monde en même temps, même si cela revient à aider d'autres fournisseurs de sécurité qui pourraient, pour certains, prendre tout ce qu'il y a à prendre malgré les droits de licence et autres restrictions, sans rien donner en retour. Nous avons confiance dans le fait que notre avantage concurrentiel ne peut que se renforcer lorsque nous faisons tout notre possible pour aider nos utilisateurs. Les règles de détection sont un aspect, mais ce n'est pas le seul. Elastic Security fournit aux utilisateurs la meilleure architecture pour exécuter la logique de détection et bloquer les menaces.

Une conversation ouverte

Notre ouverture n'est pas réservée à nos produits ! Ce qui signifie que nous adorons les commentaires. Échangez avec nous en soumettant un problème sur GitHub, discutez avec nous dans notre communauté Slack, ou posez-nous vos questions sur nos forums de discussion. Dites-nous ce dont vous avez besoin. Demandez-nous pourquoi nous avons fait tel ou tel choix. Et même mieux, partagez notre logique de détection avec le monde entier et aidez-nous à progresser. 

Notre invitation à partager notre logique de détection ne s'arrête pas à notre base mondiale d'utilisateurs. Le statu quo parmi les fournisseurs EPP/EDR doit évoluer vers une plus grande transparence. Nous savons que nous sommes des pionniers, et nous espérons que d'autres nous suivront. 

En résumé, nous pensons que le fait de renforcer la transparence en matière de protection aux points de terminaison est l'approche à adopter, et c'est pourquoi nous l'avons fait. Nous espérons que d'autres fournisseurs suivront et apporteront plus de transparence à la sécurité aux points de terminaison. Attendez-vous à voir des signatures YARA et des règles comportementales mises à jour au fur et à mesure que nous faisons évoluer la sécurité aux points de terminaison Elastic.

Ne manquez aucune info sur la transparence en matière de sécurité aux points de terminaison avec Elastic Security en gardant un œil sur protections-artifacts. Nous prévoyons de lancer des artefacts pour renforcer les fonctionnalités de protection aux points de terminaison prochainement. Aussi, n'oubliez pas de regarder Elastic Security Labs pour en savoir plus sur les études de sécurité que nous menons chez Elastic.  

Poursuivez votre lecture avec cet article : Alimentez votre solution SIEM avec plus de données afin d'en optimiser l'efficacité opérationnelle.