L'un des plus grands défis de la cybersécurité est l'ampleur même de la tâche. Les réseaux informatiques modernes sont extrêmement complexes, combinant des centaines de composants qui interagissent constamment de différentes manières. Les acteurs de la menace disposent ainsi d'une vaste surface d'attaque et d'une myriade d'options pour exploiter les failles, les lacunes et s'infiltrer dans le réseau. En effet, la cybersécurité est extrêmement dynamique, les attaquants exploitant continuellement de nouvelles vulnérabilités, développant de nouveaux logiciels malveillants et découvrant des moyens d'échapper aux solutions de sécurité existantes ou de les contrer.
L'ampleur du défi signifie que les stratégies de sécurité s'articulent généralement autour d'une tentative de couvrir le plus de terrain possible. Les entreprises seront armées d'une gamme d'outils de sécurité configurés pour détecter des signatures de menaces connues ou des signes de comportement inhabituel indiquant une activité malveillante. Un seul incident de sécurité pouvant entraîner des millions d’euros de perte d'activité et d'efforts de récupération, la plupart des décideurs opteront pour une approche du type "mieux vaut prévenir que guérir" qui signale tout risque potentiel.
Cependant, un maillage aussi large revient invariablement à déterrer beaucoup plus de menaces potentielles que le personnel de sécurité ne peut en gérer. Pour chaque menace réelle détectée, il y aura inévitablement un grand nombre de faux positifs, c'est-à-dire des alertes qui absorbent les ressources de sécurité mais ne représentent aucune menace réelle pour l'organisation.
D'où viennent les faux positifs ?
La plupart des stratégies de sécurité s'articulent autour d'outils de gestion des informations et des événements de sécurité (SIEM) qui servent d'agrégateurs de données de journal pour des solutions telles que les pare-feux, la détection et la réponse aux points d'accès (EDR) et les antivirus. Le SIEM rassemble les journaux des outils de détection de l'infrastructure informatique et les transforme en alertes que l'équipe de sécurité peut analyser et résoudre. Bien que ces solutions se soient améliorées ces dernières années, il est encore fréquent que le personnel ne reçoive que peu d'informations contextuelles, ce qui l'empêche de hiérarchiser correctement sa réponse.
Les faux positifs sont le résultat de ces outils d'analyse et de détection de sécurité qui signalent à tort une activité bénigne comme une menace potentielle. C'est généralement le cas lorsqu'un fichier ou une application présente des similitudes avec la signature de la menace ou les tactiques, techniques et procédures (TTP) d'un logiciel malveillant connu. Parfois, c'est simplement parce que l'outil d'analyse n'a pas l’expérience nécessaire pour faire la différence avec précision. À l'autre extrémité de l'échelle se trouvent les faux négatifs, c'est-à-dire les menaces authentiques qui ont été négligées par les outils de sécurité.
Comme le garçon qui criait au loup, ou quelqu'un qui déclenche à plusieurs reprises l'alarme incendie, un afflux de faux positifs va rapidement épuiser les ressources, l'attention et la patience d'une équipe de sécurité, causant plusieurs problèmes qui peuvent exposer l'organisation à un risque accru.
Comment les faux positifs augmentent le risque
Le problème le plus courant causé par un grand nombre de faux positifs est le temps qu'il faut pour les résoudre. Chaque alerte doit être correctement analysée et résolue, le temps nécessaire variant selon la nature de l'alerte.
En moyenne, 10 heures sont consacrées au traitement des faux positifs, sur une semaine de 39h*. Cela signifie qu'environ un quart d'une semaine est consacré à cocher des alertes qui ne présentent aucun danger pour l'organisation.
Les faux positifs sont généralement beaucoup plus nombreux que les véritables menaces. Dans un exemple frappant, une grande organisation qui recevait environ 75 000 alertes par jour, finalement, seules deux de ces alertes étaient susceptibles d'être des menaces valables.
La gestion de toutes ces fausses alertes détourne les équipes des véritables menaces. Les outils SIEM présentent souvent les alertes avec peu ou pas de contexte, de sorte que les équipes sont obligées de les parcourir par ordre chronologique sans pouvoir les hiérarchiser efficacement. En conséquence, il peut s'écouler des jours, voire des semaines, avant qu'une menace sérieuse ne soit correctement évaluée.
Les acteurs de la menace adorent ce genre de retard, temps de réaction, car cela leur permet de disposer d'un temps d'arrêt supplémentaire. Une véritable alerte qui se trouve au numéro 200 de la liste des tâches à accomplir peut annoncer la présence d'un acteur de la menace dans l'environnement, qui est libre d'errer sans être dérangé pendant des jours. Dans de nombreux cas, même un retard de 15 minutes peut entraîner la perte de la piste qui aurait pu être utilisée pour découvrir et arrêter un intrus, si bien qu'un retard de plusieurs jours est une cause totalement perdue.
Le danger de l'épuisement des analystes
Outre l'exposition accrue au risque que représentent des temps de réponse aussi lents, le fait que l'équipe de sécurité passe une grande partie de sa journée à s'épuiser dans des activités répétitives et à faible valeur ajoutée crée un mauvais environnement de travail. Sans surprise, 90 % des personnes interrogées dans le cadre du rapport* ont déclaré qu'elles considéraient que les faux positifs contribuaient au moral bas du personnel. Les analystes qui se sentent épuisés par le traitement d'un nombre incalculable d'alertes commenceront à être moins performants, et la rotation du personnel risque d'être élevée.
Les analystes de sécurité ont tendance à avoir un esprit curieux qui s'épanouit en résolvant des énigmes et des défis. Beaucoup d'entre eux commenceront à considérer, à juste titre, que le travail quotidien à travers les faux positifs est un gaspillage de leurs talents et de leur formation, et il est courant de voir le personnel de sécurité changer d’emploi.
Cette situation est particulièrement problématique dans un secteur qui souffre déjà d'une grave pénurie de professionnels qualifiés et expérimentés. Les meilleurs analystes sont capables de s'appuyer sur des années d'expérience. Lorsqu'un expert en la matière s'en va, l'équipe se retrouve avec un vide dans ses connaissances. Cela a souvent un effet sur l’utilisation et la valeur des solutions de sécurité, les outils devenant souvent des objets de consommation courante lorsque l'expert part et que son remplaçant n'a pas son expertise.
Pourquoi l'automatisation est la solution
Le volume d'alertes de menaces qui bombarde l'équipe SOC (de taille moyenne) est bien trop important pour que le personnel humain puisse y faire face seul. Même s'ils pouvaient suivre l'afflux de nouvelles alertes, le fait que des analystes qualifiés passent un quart de leur journée à cocher des faux positifs est mauvais pour la productivité, le retour sur investissement et le moral.
La réponse est l'automatisation par l'intelligence artificielle. Le niveau surhumain de vitesse, d'endurance et d'attention aux détails requis pour ce travail ne peut être atteint que par des solutions analytiques alimentées par l'intelligence artificielle (IA). Des outils tels que l'IA, le Machine Learning (ML) et le Deep Learning (DL) ont eu un impact significatif sur la réduction des faux positifs et la prévention des menaces inconnues.
L'IA est devenue un terme générique couvrant un certain nombre de sous-ensembles technologiques différents, mais le trait commun est une solution capable d'ingérer des données afin d'établir et de reconnaître des modèles. Dans le domaine de la sécurité, cela se traduit le plus souvent par des solutions de ML. Ces outils peuvent être entraînés sur des données relatives aux menaces jusqu'à ce qu'ils puissent reconnaître de manière fiable différents types d'attaques, les TTP courants, et réagir automatiquement si nécessaire. Une fois formées, les solutions peuvent traiter d'énormes ensembles de données bien plus rapidement que le meilleur analyste humain, et sans risque de baisse de moral et d'épuisement.
Les processus peuvent être automatisés de sorte que les faux positifs et les menaces réelles mais de faible niveau sont analysés et résolus en quelques secondes sans intervention humaine. Le personnel de sécurité peut ainsi se concentrer sur les aspects les plus gratifiants et les plus utiles de son travail.
Cependant, bien qu'il s'agisse d'outils puissants pour faire face à l'afflux constant d'alertes, les solutions ML traditionnelles présentent des failles qui peuvent être manipulées par les acteurs de la menace. Les attaquants peuvent utiliser leurs propres outils de Machine Learning pour créer des ensembles de données empoisonnés, en trompant le modèle de l'outil de sécurité pour qu'il identifie à tort une menace comme quelque chose de bénin. Si la machine reconnaît cet ensemble de données comme sûr, elle crée un faux négatif qui permet à l'attaquant de se glisser dans l'environnement et de créer une porte dérobée.
Les outils ML traditionnels reposent aussi généralement sur des flux de données provenant d'outils tels que les antivirus et les systèmes de détection et de réponse aux points d'accès (EDR), ce qui signifie que la technologie ne peut que réagir aux menaces identifiées, et non les prévoir. Les acteurs de la menace sont devenus plus habiles à lancer des attaques qui auront un impact bien avant que les systèmes EDR puissent recueillir suffisamment de données pour évaluer la menace.
Aller au-delà de Machine Learning
La réponse à cette question est le Deep Learning, le sous-ensemble le plus élevé de l'IA. Cette approche est marquée par sa vitesse de traitement extrêmement élevée, identifiant les brèches potentielles en moins de 20 millisecondes. Cette technologie est relativement nouvelle dans le domaine de la cybersécurité, mais elle a été largement utilisée par des entreprises telles que Tesla et YouTube pour la conduite autonome et la reconnaissance d'images.
Le Deep Learning implique la création d'un réseau neurologique qui est entraîné sur des échantillons de données brutes constitués de millions de fichiers étiquetés. La principale différence avec le Machine Learning standard est que le Deep Learning ne reçoit pas d'informations sur les fichiers malveillants et les fichiers bénins. Au lieu de cela, il doit apprendre à faire ces déterminations de manière indépendante.
Au bout du compte, le réseau est capable d'identifier instinctivement le code malveillant, et non plus de réagir aux données de l'EDR, mais de prédire et de prévenir les attaques avant qu'elles ne commencent vraiment. Cette approche plus complexe est également plus difficile à percer pour les criminels, ce qui réduit considérablement le risque posé par les ML adverses et les ensembles de données empoisonnés.
Pour commencer
Outre sa capacité exceptionnelle à prédire les attaques et à identifier de manière proactive les menaces émergentes, le Deep Learning se chargera de toutes les tâches analytiques lourdes pour l'équipe de sécurité. Lorsqu'il est correctement intégré dans le produit, le Deep Learning peut réduire le volume d'alertes qu'une équipe de sécurité examine jusqu'à 25 % sur une base hebdomadaire. En conséquence, l'équipe ne sera plus accablée par le poids des faux positifs et des menaces de bas niveau, ce qui lui permettra de se consacrer à des activités plus utiles et de réagir rapidement lorsqu'une menace légitime apparaîtra.
Cependant, il est important de garder à l'esprit que, aussi puissant soit-il, le Deep Learning n'est pas un bouton magique sur lequel on peut appuyer pour résoudre à lui seul tous les problèmes de sécurité. Les organisations ont toujours besoin d'un cadre solide de solutions de sécurité conventionnelles en place, et en effet, le Deep Learning fonctionne mieux lorsqu'il existe une infrastructure de sécurité solide et multicouche qu'il peut soutenir.
Par conséquent, les organisations doivent prendre leur temps lorsqu'elles prévoient de se lancer dans le Deep Learning. Il peut être tentant de se précipiter pour acheter la dernière technologie brillante, mais il est important de procéder d'abord à une vérification préalable.
Les RSSI et les autres décideurs en matière de sécurité doivent évaluer avec soin leur pile actuelle et leurs objectifs de sécurité, et réfléchir à la manière dont le Deep Learning s'intègre. Quels résultats recherchent-ils ? Que vont-ils augmenter ou compléter ? Y a-t-il quelque chose qui ne convienne pas et qui doive être remplacé ou mis à niveau ?
Lorsqu'ils ont des réponses solides à ces questions, les RSSI peuvent commencer le processus d'intégration du Deep Learning dans leur stratégie de sécurité. Avec un système automatisé alimenté par le Deep Learning, l'équipe de sécurité sera libérée de l'obligation de patauger dans les faux positifs et pourra concentrer toute son énergie à assurer la sécurité de l'organisation.
* Le rapport Voice of SecOps de Deep Instinct