Ce blog a été publié à l'origine sur LinkedIn.
Le secteur de la sécurité est envahi de vendeurs qui présentent la détection d'anomalies comme le remède miracle aux cyberattaques. Il s'agit là d'une erreur grossière.
Le problème est que la détection des anomalies est trop générale : Tout comportement normal est bon ; tout comportement anormal est mauvais - sans tenir compte des gradations et du contexte. Avec la détection d'anomalies, la distinction entre les comportements des utilisateurs et ceux des attaquants est nébuleuse, même s'ils sont fondamentalement différents.
Considérez ceci : Les gens font ce qu'il faut pour accomplir leur travail : ils lisent leurs courriels alors qu'ils sont en vacances à l'étranger, ils se connectent à 3 heures du matin lorsqu'ils se réveillent inspirés, ils téléchargent de nouveaux ensembles de fichiers pour un projet en cours de démarrage. Parfois, ce comportement bien intentionné peut paraître suspect.
Dans le même temps, les cyberattaquants sophistiqués sont capables d'imiter les pratiques acceptées et de se fondre dans les comportements normaux. Par conséquent, les fournisseurs de systèmes de détection d'anomalies sont plus susceptibles de repérer de bons employés faisant leur travail d'une manière légèrement inhabituelle que d'identifier et d'exposer un attaquant.
Peut-on dire "faux positif" ?
On peut comparer la détection d'anomalies à la pratique de l'interpellation et de la fouille par les forces de l'ordre. Par exemple, en 2015, 99,5 % des interpellations de personnes suspectes à New York n'ont révélé aucune arme. Des dizaines de milliers de fouilles et seulement une poignée d'armes.
Pour paraphraser une observation, l'interpellation et la fouille compensent leur imprécision par l'utilisation intensive de ressources et l'inefficacité. Mais il faut comparer l'interpellation et la fouille à la détection par rayons X, qui détecte discrètement et instantanément l'image thermique d'une personne. En cas d'arme dissimulée, les rayons T montreront une forme d'arme froide en contraste avec le corps chaud.
Pour conclure l'analogie, la détection d'anomalies est l'équivalent en cybersécurité du profilage racial : elle signale tout ce qui est génériquement différent.
VectraEn revanche, il s'agit d'un rayon T, qui utilise l'IA pour distinguer les comportements anormaux trop généraux et facilement trompeurs des identifiants saillants et très spécifiques des comportements de l'attaquant.
Les fournisseurs de solutions de détection des anomalies exigent des analystes en cybersécurité qu'ils examinent minutieusement chaque événement suspect, qu'il soit réel ou non. Cette approche est l'antithèse de l'expression "là où il y a de la fumée, il y a du feu". Lorsqu'il s'agit de comportements anormaux, il y a beaucoup de fumée mais pas de feu, et les analystes de la sécurité doivent courir après chaque brindille, gaspillant du temps et de l'argent à traquer chaque fausse piste tout en restant aveugles aux vraies menaces.
Qui a le temps et l'argent pour cela ? Et surtout, qui veut risquer sa propriété intellectuelle et la réputation de son entreprise en adoptant une approche aussi défectueuse ?
Le travail de l'intérieur
Les indicateurs des menaces individu peuvent être tout aussi trompeurs. Il est vrai que certains piratages très médiatisés ont présenté un comportement anormal, comme la fuite d'informations confidentielles signalée par Edward Snowden. Mais la grande majorité des attaques individu ont réussi parce qu'elles se fondaient dans les comportements normaux et qu'elles n'ont été découvertes que longtemps après avoir causé des dégâts considérables.
Dans le scandale des comptes frauduleux de Wells Fargo, les employés semblaient faire leur travail - et le faire un peu "trop bien", comme il s'est avéré. Ils connaissaient et utilisaient les procédures standard. Ils utilisaient leurs informations d'identification de manière appropriée. Ils n'ont pas outrepassé leurs droits d'accès ou d'autorisation.
Les cyberattaques avancées se comportent de la même manière. Elles se fondent dans la masse et, à moins que l'équipe de sécurité ne se concentre sur la recherche des comportements des attaquants et pas seulement sur les anomalies généralisées, elle n'a aucune chance réaliste de devancer ces attaques.
Et c'est là la "vilaine" vérité sur les détections d'anomalies généralisées.