Les équipes de sécurité sont de plus en plus inondées de milliers d'alertes, dont la plupart s'avèrent être des faux positifs, qui ne représentent donc aucune menace.
Comment le Deep Learning qui est la forme la plus avancée d'analyse de l'IA, peut-elle s'attaquer à l'avalanche de faux positifs - ainsi qu'à certaines des menaces les plus complexes ?
Prioriser et trier les informations, les alertes reçues restent un travail très chronophage pour les équipes de sécurité. Cette situation est le quotidien de nombreux analystes de sécurité, qui sont contraints de traiter un nombre toujours croissant de fausses alertes de sécurité.
Aujourd’hui, les équipes des centres opérationnels de sécurité (SOC) passent en moyenne 10 heures par semaine (39h) à traiter les faux positifs*.
Le nombre considérable d'alertes, que les équipes SOC doivent traiter chaque jour, s'explique par le fait que les stratégies de sécurité consistent généralement à équiper l'organisation d'un ensemble d’outils qui surveillent chaque centimètre des réseaux et systèmes à la recherche d'activités malveillantes.
Tout ce qui est suspect ou inhabituel et qui pourrait être le signe d'une attaque est acheminé par une plateforme de gestion des informations et des événements de sécurité (SIEM) et envoyé à l'équipe SOC pour enquête, malheureusement avec souvent peu de contexte.
Ces faux positifs apparaissent lorsque les outils d'analyse ne sont pas suffisamment configurés pour différencier, par exemple, le trafic réseau normal de l'activité suspecte. Bien que le volume puisse être réduit en modifiant la sensibilité de l'analyse, cela augmente le risque que de véritables menaces passent inaperçues.
Les faux positifs ont un impact sur la sécurité et les ressources
Le raz-de-marée de faux positifs pose un certain nombre de problèmes importants aux organisations. La résolution d'un faux positif est une activité indispensable mais à très faible valeur ajoutée qui n'améliore en rien la sécurité de l'entreprise. Le fait que les équipes SOC passent un quart de leur temps à traiter les fausses alertes est extrêmement inefficace et rallonge le temps nécessaire aux analystes pour identifier et enquêter sur les véritables menaces.
Chaque seconde compte lorsqu'un attaquant passe à l'action, de sorte qu'une alerte légitime peut se retrouver noyer dans un flot de faux positifs et donner au cybercriminel le champ libre pour infiltrer le système et couvrir ses traces.
Le fait de passer autant de temps à effectuer une tâche aussi répétitive pèse également sur la motivation de l'équipe de sécurité et contribue à l'épuisement des analystes, un problème courant dans le secteur. 90 % des spécialistes de sécurité interrogés dans le cadre d’une étude* ont déclaré qu'elles considéraient que les faux positifs contribuaient à la baisse du moral du personnel. Ainsi, les équipes SOC fatiguées et démotivées sont également plus susceptibles de commettre des erreurs et de passer à côté de la véritable menace.
S'automatiser
Le volume des alertes de sécurité augmentant bien au-delà des capacités humaines, la plupart des entreprises ont cherché à automatiser au moins une partie du processus grâce à l'intelligence artificielle. Cela prend généralement la forme d'outils d'analyse, alimentés par le Machine Learning (ML), formés sur des ensembles de données pour reconnaître les signes de différentes attaques.
Ces outils peuvent alors analyser rapidement un grand nombre d'alertes et éliminer tous les faux positifs, laissant à l'équipe une charge de travail beaucoup plus facile à gérer. Les outils de ML peuvent également être intégrés aux processus de réponse, pour résoudre des menaces authentiques mais de faible niveau sans intervention humaine. De même, les enquêtes sur les menaces peuvent également être fortement automatisées, mêlant l'intuition humaine à l'efficacité de l’IA.
Mais si les outils de ML se sont révélés indispensables pour faire face à l'avalanche d'alertes, ils sont limités par leur nature réactive. Les solutions traditionnelles s'appuient sur les flux de données entrants provenant de la détection et de la réponse aux points de terminaison (EDR) et d'autres outils, ce qui signifie qu'elles ne peuvent réagir aux menaces qu'au moment où elles apparaissent. Des experts ont mis au point des techniques qui permettent de frapper et de causer des dommages avant que les outils de ML ne disposent de suffisamment de données pour reconnaître la menace.
En outre, certains attaquants utilisent leurs propres outils de Machine Learning pour corrompre la source avec des ensembles de données falsifiées qui confondront la solution en étiquetant les signes d'une menace réelle comme du trafic réseau ordinaire. Cela permet aux attaquants d'infiltrer le réseau sans être détectés.
Pour contrer cette menace, il faut une forme plus avancée d'analyse de l'IA : le Deep Learning (DL).
La prochaine phase de l'IA
Le Deep Learning est le sous-ensemble le plus récent et actuellement le plus avancé de l'IA. S'il suit le même principe de base que le ML, la principale différence est que le DL est centré sur un réseau neurologique entraîné sur des ensembles de données brutes non classées. Alors que les outils de ML reçoivent des ensembles de données qui sont déjà différenciés en bons et mauvais éléments, une solution DL apprend à faire la différence elle-même. Ce processus est plus lent et plus complexe que la formation traditionnelle de l'IA, mais il donne des résultats bien supérieurs.
Un réseau de DL entièrement formé peut identifier instinctivement des signes subtils d'activité malveillante avec un haut degré de précision. De plus, il le fait à une vitesse fulgurante, même selon les normes de l'IA : les vulnérabilités potentielles peuvent être identifiées en moins de 20 millisecondes.
Cette combinaison de vitesse et de précision signifie que les outils DL peuvent identifier les attaques entrantes à la toute première occasion, permettant aux équipes de sécurité de les arrêter rapidement avant même qu'elles ne commencent. La méthode d'apprentissage plus complexe est également beaucoup plus difficile à utiliser par les acteurs de la menace avec des ensembles de données corrompus.
Malgré ses capacités avancées, le Deep Learning n'est pas une solution magique qui résoudra instantanément le problème des faux positifs. Les RSSI devront prendre leur temps pour évaluer la meilleure façon d'assimiler la solution dans leur solution existante afin d'optimiser ses capacités.
Le Deep Learning est d'autant plus efficace qu'il est parfaitement intégré dans le processus de sécurité, ce qui lui permet de traiter à la fois les vraies et les fausses alertes et de contribuer à l'investigation et à la réponse aux attaques. Une solution de Deep Learning bien intégrée peut réduire de 25 % le nombre d'alertes parvenant à l'équipe de sécurité et accélérer considérablement l'investigation de celles qui restent.
Avec une solution de Deep Learning entièrement formée et opérationnelle, les analystes de la sécurité pourront donc utiliser leurs connaissances et leurs compétences pour s'attaquer aux véritables menaces auxquelles leur organisation est confrontée, tandis que leur alliée IA s'attaquera aux faux positifs et aux attaquants avancés.
* D’après le rapport Voice of SecOps de Deep Instinct (juin 2021)