Cybersécurité – SysFlow d’IBM mis en open source

Cybersécurité – SysFlow d’IBM mis en open source

Le projet SysFlow de surveillance des systèmes d’IBM Research a été soumis à la communauté open source. Il s’agit d’un système qui a été conçu de façon à détecter les attaques de façon plus précise que les outils de télémétrie classiques.

SysFlow connecte aux activités de réseaux et d’accès aux fichiers les comportements des processus. Il offre ainsi une visibilité plus complète sur les charges de travail cloud en fournissant un contexte d’analyse plus étendu afin de repérer de manière plus efficace les attaques contre les réseaux d’entreprise.

Selon IBM Research, les cas d’usage de la suite de surveillance SysFlow sont divers : surveillance des menaces, protection de l’intégrité d’exécution des containers, capacités d’investigation en cas de soupçons d’attaque. La représentation des activités d’un système est encodée dans un format compact.  Ce dernier enregistre la manière dont les applications interagissent avec leur environnement.

L’ouverture des bibliothèques et du format de SysFlow a pour but de faciliter leur intégration avec les microservices analytiques personnalisés et les frameworks open source, comme Scikit-learn ou Spark.

Les différentes étapes de la chaîne d’attaque sont cartographiées de manière précise par SysFlow, selon les explications d’IBM Research. Comme le détaille l’équipe de recherche, SysFlow expose les relations entre les processus, les fichiers, les containers et les terminaux comme des flux (opérations volumétriques) et des événements (opérations uniques).

La structure de données en graphe, ainsi obtenue, donne la possibilité de retrouver rapidement une information de sécurité, permettant une détection par les défenses automatisées ainsi qu’une intervention rapide sur les attaques.

SysFlow dispose d’un pipeline de traitement de données qui fournit un ensemble d’API et de composants réutilisables. Ces derniers permettent le déploiement des sondes de télémétrie pour surveiller les charges de travail cloud et exporter les enregistrements vers des services de stockage objet afin que les données recueillies puissent être analysées.

IBM Research sollicite la contribution et les commentaires de la communauté sur SysFlow qui est un objet en cours de réalisation.