Si vous demandez à des analystes de la sécurité de décrire les principales difficultés auxquelles ils se heurtent dans l'exercice de leurs fonctions, vous obtiendrez sans aucun doute des réponses très diverses. Une chose qu'ils auront presque certainement en commun est le défi que représente la gestion de la fatigue des alertes. Nous avons observé que les défis dans ce domaine se résument à trois points de douleur des analystes :
- "Il n'y a pas assez d'heures dans la journée pour gérer le volume d'alertes que j'ai à traiter.
- "Je suis incapable d'utiliser efficacement mon temps parce que je ne peux pas faire la distinction entre les faux et les vrais positifs.
- "Je crains de passer à côté d'une véritable attaque parce que le signal est noyé dans le bruit de ma solution existante.
De nombreuses raisons expliquent les problèmes décrits dans les anciennes solutions de sécurité, mais elles se résument en grande partie à ce qui suit :
- Une correspondance condition/anomalie simpliste crée des faux positifs.
- L'incapacité d'exploiter les indices contextuels du réseau pour améliorer l'efficacité.
- L'accent est mis uniquement sur les détections, et non sur la manière de les organiser efficacement afin qu'un analyste puisse se concentrer sur les choses qui requièrent réellement son attention.
Une meilleure façon de procéder pour les analystes de la sécurité :
Dès le premier jour, Vectra a conçu des détections pour éliminer la probabilité de faux positifs en donnant aux algorithmes le contexte du réseau. Alors que les produits de sécurité réseau traditionnels peuvent se contenter de rechercher un modèle ou une anomalie statistique sans contexte, Vectra conçoit ses détections de manière à exploiter le contexte du réseau et à identifier les anomalies comme le ferait un analyste de la sécurité.
Par exemple, notre détection Smash and Grab Exfil apprendra quels mouvements de données sont normaux sur une base sous-réseau par sous-réseau, prendra en compte les sites populaires dans votre environnement et recherchera les flux de données sortants anormaux, même dans les canaux cryptés. Vectra met en outre en corrélation les détections entre les entités Host et Account, en apprenant l'archétype et en identifiant chaque objet, puis classe les détections par ordre de priorité pour les analystes de manière à ce qu'elles soient exploitables et classées par pile. Cela simplifie considérablement les efforts nécessaires à l'exploitation de Vectra par rapport aux concurrents qui se contentent de générer des détections et laissent à l'analyste le soin d'en discerner le sens.
Mais il restait un domaine qui ne nous satisfaisait pas entièrement : la gestion des vrais positifs. En effet, tous les vrais positifs ne sont pas malveillants. Vous pouvez également détecter de manière fiable une activité dont le comportement est conforme à ce que le système indique ; dans le contexte dans lequel un événement se produit, il peut s'agir d'un vrai positif bénin plutôt que d'un vrai positif malveillant. Par exemple, certains produits antivirus intègrent des recherches de hachage de fichier dans les recherches DNS vers le fournisseur AV. Ce comportement peut ressembler à un canal de commande et de contrôle encodant des données dans la charge utile DNS, et c'est bien le cas. Il n'en reste pas moins que s'il s'agit d'un véritable tunnel DNS, il n'est pas malveillant, mais plutôt bénin. Notre philosophie est de fournir une visibilité sur ces détections de haute qualité des comportements et des méthodes des attaquants, mais d'équilibrer cela en priorisant uniquement les détections corrélées de haute confiance au niveau d'un hôte ou d'un compte pour que l'utilisateur y prête attention.
Cela nous a amenés à nous demander s'il était possible d'appliquer certaines des techniques que nous utilisons pour alimenter nos algorithmes de ML/AI de classe mondiale afin d'aider à différencier les True Positives malveillantes des True Positives bénignes. L'objectif était d'éliminer en grande partie la nécessité pour nos clients d'analyser les vrais positifs bénins tout en donnant la priorité aux vrais positifs malveillants pour qu'ils y accordent une attention immédiate. C'est ainsi qu'est né AI-Triage.
À l'instar de notre processus de création de détections, nous avons ajouté des capacités de triage par l'IA en analysant d'abord la méthodologie que les analystes du monde réel appliquent pour résoudre ces problèmes. Nous avons ensuite formé notre système de ML/AI pour aider à automatiser la résolution des scénarios les plus fiables.
Comment fonctionne l'AI-Triage :
Inhérente à la plateforme Vectra , la fonction AI-Triage analyse automatiquement toutes les détections actives dans le système, en exploitant le contexte des détections individuelles, ainsi que les points communs entre les détections pour rechercher des exemples de vrais positifs bénins que nous pouvons automatiquement trier pour le compte du client. Par exemple, si nous voyons des douzaines de terminaux qui génèrent tous la même détection de tunnel HTTPS caché vers la même destination, sur une période d'au moins 14 jours sans autres indicateurs de compromission, nous pouvons en toute confiance l'identifier comme un vrai positif bénin. AI-Triage créera alors automatiquement une règle de triage au nom du client, sans que l'analyste n'ait à y consacrer un temps précieux. Si un analyste souhaite l'examiner, l'activité est toujours disponible au sein de la plateforme, mais ne nécessite aucune action de la part de l'analyste et n'a aucun impact sur le score de l'hôte ou du compte.
Nous avons d'abord introduit le support AI-Triage pour les détections basées sur C2 et Exfil, et dans notre prochaine version, nous nous appuyons sur cet excellent cadre pour étendre AI-Triage aux détections basées sur Lateral. Nous avons observé que AI-Triage réduit de plus de 80 % le nombre total de détections qu'un analyste devrait autrement investiguer, ce qui signifie qu'il peut consacrer plus de temps aux événements qui requièrent l'attention de l'analyste.
Déploiement en un clic
Maintenant que vous connaissez tous les avantages qu'offre AI-Triage, vous serez heureux d'apprendre que vous pouvez activer les capacités en un seul clic. AI-Triage ne nécessite aucun réglage ni aucune administration de la part du client. Vous pouvez l'activer en allant simplement dans Paramètres -> AI-Triage, et en activant la fonction. AI-Triage commencera alors à fonctionner en arrière-plan pour identifier les détections positives bénignes à haut niveau de confiance et les trier pour vous.
Trente jours après son lancement, plus de la moitié de nos clients ont déjà activé AI-Triage. Nous constatons une réduction substantielle des vrais positifs bénins pour la grande majorité des clients. Mais ce n'est que le début de notre voyage pour rendre les analystes de sécurité plus efficaces. Dans les prochaines versions, nous étendrons les capacités d'AI-Triage à de nouveaux scénarios et à d'autres produits de notre portefeuille.
Si vous souhaitez obtenir plus d'informations sur l'AI-Triage, consultez notre article KB "AI-Triage in Detail" : https://support.vectra.ai/s/article/KB-VS-1582
Pour plus d'informations sur la détection ML/AI de classe mondiale de Vectra, consultez le site : https://support.vectra.ai/s/article/KB-VS-1285