Dans le premier blog de cette série, nous avons décodé certains des mots à la mode en matière d'IA/ML et expliqué pourquoi Vectra est fière d'utiliser le terme " IA " dans le cadre de ses activités. Nous allons maintenant examiner de plus près les méthodologies d'application de l'IA à la détection et à la réponse aux menaces. Plus précisément, nous opposerons l'approche axée sur la sécurité, dont Vectra est le pionnier, à l'approche axée sur les mathématiques, utilisée par d'autres fournisseurs. Vous trouverez également une explication détaillée de la manière dont Vectra utilise la science des données et l'IA pour détecter et arrêter les attaquants dans le livre blanc intitulé The AI Behind Vectra AI.
Détection axée sur la sécurité ou sur les mathématiques
Deux approches principales sont utilisées pour appliquer l'IA/ML à la détection des menaces : l'une axée sur la sécurité et l'autre sur les mathématiques.
L'approche mathématique permet de détecter les anomalies de base
L'approche mathématique commence par la production de statistiques de base et d'informations inédites sur l'environnement par les scientifiques des données. Quelle est la fréquence ou la rareté d'une destination, d'un domaine ou d'une IP ? Quel est le nombre typique de connexions SMB par heure pour cette IP ? Ce compte s'est-il déjà connecté à partir de cette IP ? Les chercheurs en sécurité utilisent ensuite ces statistiques pour élaborer des centaines de règles - de véritables signatures - qui comportent un élément d'anomalie de base.
Par exemple, le cœur d'un modèle de tunnel de commande et de contrôle (C2) recherchera plusieurs connexions dans un laps de temps donné vers une destination qui est à la fois nouvelle pour ce réseau et rare (peu de systèmes communiquent avec elle). Il y aura probablement des dizaines de ces modèles qui varieront les taux de connexion, la rareté et la nouveauté en essayant d'équilibrer la couverture et le bruit.
À première vue, cette approche semble raisonnable. Bien sûr, le résultat est un patchwork de BEAUCOUP de modèles étroits que l'équipe doit comprendre, maintenir et mettre au point. Et il peut être mis en échec par un attaquant qui contacte la destination et attend ensuite quelques jours, mais combien de fois cela se produira-t-il ? De plus, il peut être déjoué par des techniques courantes telles que le domain fronting, qui permet de contourner la détection en contournant l'exigence de rareté. Ces limites sont inquiétantes, mais nous pouvons peut-être encore nous convaincre qu'il s'agit d'un compromis acceptable.
Le vrai problème, cependant, c'est que même avec autant de contraintes en place, ces modèles restent très bruyants. D'autres filtres doivent être ajoutés. Qui dit filtres dit angles morts. Les modèles réels des fournisseurs bien connus dans ce domaine filtrent toutes les destinations qui sont dans les nuages communs ET toutes les sources qui sont mobiles/tablettes, infrastructure (routeurs, pare-feu, etc.), et IoT comme les téléphones IP. Ces angles morts massifs doivent être ajoutés juste pour réduire suffisamment le bruit pour que le système soit viable.
Nous pensons que ce n'est pas suffisant.
Une approche axée sur la sécurité permet de découvrir les méthodes des attaquants
L'approche axée sur la sécurité renverse les choses. Plutôt que de commencer par des statistiques, elle commence par comprendre le problème à résoudre. Cela signifie que les chercheurs en sécurité définissent les principales méthodes d'attaque que nous devons être en mesure de détecter, conformément à des cadres tels que MITRE ATT&CK et D3FEND. Il est important de noter qu'il ne s'agit PAS de se concentrer sur des outils ou des exploits spécifiques, mais plutôt sur les méthodes sous-jacentes en jeu. Les méthodes évoluent très lentement dans le temps, ce qui en fait des points d'ancrage stables pour la détection.
Une fois la méthode d'attaque clairement définie, la recherche en sécurité et la science des données s'associent étroitement pour construire un modèle de détection précis : évaluation des données, choix de l'approche ML adaptée aux données et au problème, construction, test et affinage en continu pour garantir la précision.
Dans la méthodologie axée sur la sécurité, le problème des tunnels C2 est résolu à l'aide d'un réseau neuronal récurrent (LSTM) formé avec des dizaines de milliers d'échantillons de trafic de tunnels provenant de nombreux outils différents effectuant de nombreuses tâches différentes, ainsi qu'avec un vaste corpus de trafic sans tunnel. Le réseau neuronal LSTM apprend en fait (c'est de l'apprentissage profond) ce qu'est un tunnel dans n'importe quel réseau, à l'aide de n'importe quel outil. Il fonctionne même sur le trafic crypté et n'a pas d'angle mort en fonction de la destination ou du type de système source.
De manière contre-intuitive, l'utilisation d'une méthodologie axée sur la sécurité libère en fait l'équipe de science des données pour qu'elle puisse utiliser les grands moyens, c'est-à-dire des approches spécialisées pour des problèmes spécialisés. Comme l'utilisation d'un réseau neuronal récurrent pour la détection des tunnels. L'approche axée sur les mathématiques, en revanche, contraint les scientifiques des données à utiliser le plus petit dénominateur commun, en recourant à des anomalies statistiques simples et génériques que l'équipe chargée de la sécurité peut intégrer à un grand nombre de modèles différents sans avoir une compréhension approfondie de leur fonction.
L'approche axée sur la sécurité nécessite davantage d'expertise interdomaines, des données spécifiques, plus de temps et une plateforme suffisamment flexible pour exécuter ce type de modèle à grande vitesse. C'est la raison pour laquelle de nombreux fournisseurs s'en détournent, bien qu'ils obtiennent de meilleurs résultats en matière de sécurité.
Pourquoi c'est important
L'utilité de la détection des menaces se résume à la vitesse. Cela ne signifie pas seulement que le système doit fonctionner en temps quasi réel (bien que cela soit important), mais aussi qu'il doit détecter des éléments utiles sans noyer l'opérateur dans le bruit.
Au fond, l'approche axée sur la sécurité offre une meilleure couverture de ce qui est important (réduit les angles morts !) tout en créant beaucoup moins d'alertes à passer au crible pour les équipes - une réduction de 85 % selon un client qui est récemment passé d'un fournisseur bien connu axé sur les mathématiques à Vectra.
Dans notre prochain blog, nous examinerons la différence de couverture entre la sécurité et les mathématiques en ce qui concerne le problème de sécurité le plus important aujourd'hui : les ransomwares (ou plus précisément, les ransomOps).
Obtenez plus d'informations sur l'approche basée sur la sécurité de Vectra et sur la manière dont elle se situe par rapport à nos concurrents.
Ne manquez pas de lire le livre blanc gratuit intitulé The AI Behind Vectra AI, pour découvrir comment la science des données et l'IA peuvent donner aux défenseurs un avantage sur les cyberattaquants.