Pourquoi il est normal d'être déçu par l'ETA de Cisco

26 juin 2017
Oliver Tavakoli
Chief Technology Officer
Pourquoi il est normal d'être déçu par l'ETA de Cisco

Cisco a récemment annoncé le terme "réseau basé sur l'intention" dans un communiqué de presse qui met en avant l'idée que les réseaux doivent être plus intuitifs. L'un des éléments de cette intuition est que les réseaux soient plus sûrs sans que les professionnels de la sécurité des réseaux locaux n'aient à effectuer de lourdes tâches. L'ETA de Cisco est un élément essentiel de cette stratégie :

"L'analyse du trafic crypté de Cisco résout un problème de sécurité du réseau que l'on croyait insoluble", a déclaré David Goeckeler, vice-président senior et directeur général des réseaux et de la sécurité. "L'ETA utilise la cyber-intelligence Talos de Cisco pour détecter les signatures d'attaques connues, même dans le trafic crypté, ce qui permet de garantir la sécurité tout en préservant la vie privée."

Je suis toujours intrigué (et souvent amusé) par l'affirmation selon laquelle un problème insoluble a été résolu. Voyons donc comment l'ETA de Cisco est construite:

  • Prenez des lots d'échantillons malware qui sont déjà classés dans les familles malware et étiquetés pour refléter cette classification.
  • Faire fonctionner chacun d'entre eux dans un bac à sable pendant 5 minutes
  • Capturer le trafic que les échantillons émettent
  • Isoler les sessions cryptées TLS du reste du trafic
  • Extraire des informations sur ces sessions à partir de leur poignée de main TLS - il y a un "Client Hello" envoyé par le client au serveur et un "Server Hello" (comprenant un certificat de serveur) avec lequel le serveur répond.
  • Extraire des informations sur le flux et le reflux des données (taille des paquets, délais entre les paquets, octets présents dans les paquets, etc.
  • Prenez les caractéristiques de (5) et (6) et utilisez-les pour former un modèle afin de créer des correspondances entre ces données et les familles de malware dans (1).

Nous saluons les mesures prises par Cisco pour intégrer l'extraction des métadonnées dans le réseau et nous applaudissons ses efforts pour appliquer l'apprentissage automatique à la détection des menaces. C'est quelque chose que nous déployons dans les réseaux de nos clients depuis des années, et nous avons vu les avantages que cela peut apporter lorsque c'est bien fait (et mal fait - car nous avons certainement eu nos faux pas en cours de route). Il n'est peut-être pas surprenant que les premiers pas de Cisco dans ce domaine soient un peu décevants.

La sélection des caractéristiques et les techniques d'apprentissage automatique employées par Cisco ETA comportent sans aucun doute de nouvelles approches. Mais l'idée générale d'utiliser les métadonnées de session pour créer des signatures précises pour les communications malware ressemble à un retour en arrière, qui nous ramène à la publication du premier IDS basé sur des signatures, vers 1995. En supposant qu'ils réussissent avec la génération actuelle de malware, il faudra peu de temps aux développeurs de malware pour modifier leurs communications cryptées de manière à échapper à cette forme de détection. Les modifications apportées par les attaquants sont assez évidentes :

  • Utiliser les formes standard des crypto-monnaies actuelles même si vous n'avez pas besoin des protections qu'elles offrent.
  • Ne donnez pas à votre certificat un aspect manifestement mauvais (conseil : copiez un certificat standard d'un site web populaire et utilisez-le comme modèle pour votre certificat).
  • Randomiser le trafic à l'intérieur de votre connexion TLS en ajoutant périodiquement du trafic supplémentaire et en variant le moment de la communication et la taille des demandes et des réponses.

Et le jeu du chat et de la souris recommence. Sauf que maintenant, Cisco devra collecter de grands volumes d'échantillons pour tenter de recycler l'ETA. Ensuite, les attaquants peuvent rapidement la casser à nouveau.

Contrairement à la plupart des applications d'apprentissage automatique, la cybersécurité implique d'affronter un adversaire intelligent qui s'adaptera aux capacités du défenseur. C'est pourquoi notre application de l'apprentissage automatique aux métadonnées extraites du réseau se concentre sur la recherche de modèles de comportement durables qui nécessiteraient des changements fondamentaux dans les méthodologies des attaquants pour les contrer.

Un exemple est l'accès à distance externe, un modèle que Vectra a lancé il y a plus de deux ans pour trouver le modèle fondamental des humains qui contrôlent les systèmes depuis l'extérieur du réseau. Il fonctionne indépendamment de l'outil de l'attaquant et du fait que le trafic soit crypté ou non. L'année dernière, lorsque ShadowBrokers a divulgué le RAT nOpen, le modèle Vectra a détecté les tentatives d'utilisation sans qu'aucune modification ne soit nécessaire. Il s'avère qu'il est beaucoup plus difficile d'inventer des méthodes d'attaque entièrement nouvelles que de modifier des schémas de communication superficiels.

Le déploiement de l'ETA ne sera pas simple ni bon marché non plus. L'ETA nécessitera soit une mise à niveau vers de nouveaux commutateurs de réseau, soit le déploiement de capteurs de débit. Les commutateurs sont un pilier du chiffre d'affaires et un générateur de profits pour Cisco, de sorte qu'il n'est pas surprenant de lier de nouvelles fonctionnalités de sécurité à la commutation. Les mises à niveau prennent du temps et sont perturbatrices, et dans ce cas, tout cet argent permettra probablement d'obtenir une fonctionnalité de sécurité du niveau des années 1990.

Si vous souhaitez une alternative permettant de réduire de 29 fois la charge de travail des opérations de sécurité pour une fraction du coût de la mise à niveau d'un commutateur, contactez-nous pour une démonstration.

Foire aux questions