Netflix gère sa sécurité avec FIDO
Netflix livre en open source sa solution d’orchestration de la sécurité visant à raccourcir les délais de réaction face aux attaques.
Pour assurer la qualité de son service de vidéo à la demande par Internet auprès de millions d’abonnés dans le monde, Netflix ne se contente pas de se construire une architecture taillée sur mesure comme ce fut le cas pour son lancement en France à la rentrée 2014. La société américaine développe aussi nombre d’outils de gestion réseau qu’elle met généralement à disposition de tous. C’est notamment le cas de FIDO (Fully Integrated Defense Operation), un système automatisé de classement et gestion des incidents de sécurité. Dans un billet posté en début de semaine, Netflix annonce avoir mis sous licence open source son outil. Il est disponible sur GitHub.
« Fido est une couche d’orchestration qui automatise les processus de réponse aux incidents en évaluant, estimant et ripostant aux logiciels malveillants et d’autres menaces détectées », expliquent les auteurs du billet. Schématiquement, l’outil fonctionne en quatre étapes. Premièrement, il se charge de collecter les alertes émises par différents détecteurs en provenance des firewall, systèmes de détection d’intrusion et autres anti-malwares. Ensuite, l’application analyse les contenus de ces alertes. La machine visée est-elle un poste Windows ou un serveur Linux ? Les patches de sécurité du système sont-ils à jour ? L’utilisateur de la machine a-t-il un statut d’administrateur ? Est-ce un exécutif ? Autant de questions dont les réponses permettront aux équipes de Netflix de mieux évaluer la menace et déterminer la manière d’y répondre le plus efficacement possible.
4 ans de développement
En troisième étape, Fido attribue une note (un « scoring ») à la menace à partir d’un ensemble d’informations corrélées afin de la classer et prioriser son traitement. Personnalisable, l’outil peut ainsi attribuer des notations sur la menace, la machine visée ou son utilisateur, et livrer une note d’ensemble.
Pour finir, le système décide de l’action à entreprendre. Laquelle peut prendre la forme d’une simple alerte aux équipes de sécurité ou passer par des mesures plus complexes comme la désactivation d’un compte utilisateur, la fin d’une session VPN, ou encore la fermeture d’un port du réseau. « La grande majorité de la mise en application dans FIDO est propre à une logique spécifique à Netflix, précise l’entreprise. Pour cette raison, nous avons supprimé la plupart de cette logique et le code dans la version open source actuelle. Nous ré-implémenteront cette fonctionnalité quand nous serons mieux en mesure de fournir à l’utilisateur final un contrôle amélioré et raisonnable à travers une mise en application personnalisable des actions. »
Si, après plus de 4 ans de développement, la solution est suffisamment mature pour être proposée publiquement, Netflix entend bien poursuivre son travail. Cela passera par le développement d’une interface d’administration renforcée d’un tableau de bord et d’assistants, mais aussi des intégrations externes (PAN, OpenDNS, SentinelOne) et des efforts autour de la corrélation et la détection des incidents. Autant d’améliorations auxquelles les développeurs peuvent désormais venir contribuer.
Lire également
Netflix ouvre… ses outils de lutte contre les attaques DDoS
Netflix : l’armée des singes Open Source pour gérer une infrastructure AWS
Netflix met le chaos dans le cloud d’Amazon
