Dans cette brèche, les attaquants disposent d'un avantage considérable sur les produits de sécurité traditionnels basés sur la prévention. Bien que les outils et les techniques de prévention soient largement utilisés aujourd'hui, les cybercriminels les déjouent régulièrement en utilisant des méthodes d'attaque complexes et intelligentes.
Les cyberattaques ne sont plus de simples opérations d'écrasement et de vol menées par des programmes préprogrammés malware. Elles sont contrôlées par des humains hautement qualifiés, créatifs et intelligents. Elles sont contrôlées par des humains hautement qualifiés, créatifs et intelligents. La coordination permanente permet à un attaquant humain d'en apprendre progressivement plus sur le réseau cible, de s'adapter à toutes les mesures de défense et de faire progresser l'attaque au fil du temps.
Si les attaques ont fait un bond en avant en termes de complexité, ce n'est pas le cas des défenses de sécurité. Les défenses sont débordées lorsqu'elles tentent de trouver des menaces en utilisant des signatures de correspondance rapide des menaces connues et malware.
Alors que les menaces sont devenues plus intelligentes et ont évolué en sophistication au fil du temps, la sécurité traditionnelle reste tributaire de jugements à l'emporte-pièce basés sur des informations incomplètes.
La sécurité traditionnelle reste tributaire de jugements à l'emporte-pièce fondés sur des informations incomplètes.
Aujourd'hui, ce déséquilibre donne aux attaquants un avantage significatif. Pour rester dans la course, les entreprises ont besoin d'une approche plus intelligente de la sécurité - une nouvelle classe de sécurité capable d'apprendre, d'évoluer et de penser.
Ce document présente les exigences d'une nouvelle méthodologie qui identifie les menaces sur la base des enseignements tirés du passé et du contexte local, puis relie les événements dans le temps pour révéler la progression d'une attaque.
Les défenses de sécurité ont tenté de suivre le rythme en utilisant de plus en plus de signatures et en les délivrant de plus en plus rapidement. Les signatures sont le fondement de la technologie de sécurité traditionnelle et sont écrites pour identifier les exploits, les URL malveillants et les malware connus.
Les signatures permettent d'identifier et de bloquer rapidement les menaces connues à grande échelle. Toutefois, leur faiblesse réside dans le fait qu'elles sont intrinsèquement réductrices : elles réduisent une menace connue à sa plus simple empreinte digitale afin de donner une réponse unique, oui ou non, en quelques microsecondes, pour éviter de ralentir le flux du trafic des applications.
Cette focalisation réductrice sur des réponses immédiates et simples a créé un avantage pour les attaquants qui sont prêts à s'adapter. Les signatures ne fonctionnent qu'en prenant l'empreinte d'une menace connue, et les attaquants ont appris à éviter les signatures en utilisant de nouvelles menaces inconnues.
Le rapport 2015 Verizon Data Breach Investigation Report illustre cette tendance de manière très détaillée, en indiquant que 70 à 90 % des sites malware utilisés dans les violations de données étaient propres à l'organisation infectée.
Cela signifie que chaque organisation aurait besoin d'un ensemble unique de signatures pour se protéger - une exigence qui n'est pas extensible. Mais si un attaquant utilise une menace inconnue, ou de type "zero-day", aucune signature ne pourrait exister pour la détecter. L'importance et la facilité de contourner les signatures n'ont pas échappé aux attaquants.
Bien que les attaquants soient capables de devancer les signatures, c'est la persistance de l'attaque en cours qui a véritablement changé la donne. Une fois les défenses extérieures d'une organisation compromises, les attaquants peuvent se fondre dans le réseau, espionner progressivement et s'infiltrer plus profondément jusqu'à ce qu'ils trouvent des actifs de grande valeur à voler ou à détruire.
Ce processus implique généralement plusieurs hôtes compromis, une variété d'outils et malware, ainsi que le vol et l'utilisation abusive d'informations d'identification d'utilisateurs valides. Ce qui est important, c'est que la menace elle-même est permanente, car les attaquants font évoluer leurs opérations et s'adaptent au fil du temps.
La menace elle-même est permanente, les attaquants faisant évoluer leurs opérations et s'adaptant au fil du temps.
La nature réductrice des signatures qui identifient les menaces au niveau atomique est particulièrement mal équipée pour reconnaître la chimie plus complexe qui se produit autour d'elles. Ce manque d'intelligence est précisément la raison pour laquelle un nouveau modèle de sécurité pour la détection des menaces est si vital.
Le modèle de détection des menaces le plus récent et le plus avancé ne se contente pas de combler les lacunes des technologies de sécurité traditionnelles. Il réduit à néant l'avantage stratégique dont les attaquants jouissent depuis trop longtemps.
Les détections qui utilisent des signatures traditionnelles deviennent obsolètes lorsque les attaquants s'adaptent en passant à un nouveau domaine ou en ajoutant quelques bits à une adresse malware connue, de sorte que les signatures ne correspondent plus. Cela leur donne l'avantage du premier arrivé, car même les changements les plus insignifiants permettent aux attaquants d'avoir plusieurs longueurs d'avance sur les défenseurs.
L'un des principaux objectifs du nouveau modèle de détection des menaces est de fournir des détections qui restent valables pendant de longues périodes. Pour ce faire, il faut passer de l'empreinte digitale de chaque instance d'une menace à la reconnaissance des caractéristiques d'attaque fondamentales que chaque menace a en commun.
Appliquées au trafic au niveau des paquets, la science des données et l'apprentissage automatique deviennent des outils extrêmement puissants pour identifier les caractéristiques fondamentales qui distinguent les menaces du trafic normal.
Les modèles de détection traditionnels tentent de trouver des bribes de code d'exploitation, un échantillon connu de malware ou un domaine malveillant. Il s'agit d'une tâche ardue qui consiste à trouver en permanence un nombre infini d'occurrences malveillantes et à en prendre l'empreinte. La tâche est sans fin et les attaquants gardent toujours une longueur d'avance en utilisant un nouvel exploit.
Pour rompre ce cycle, le nouveau modèle de détection des menaces ne se concentre plus sur la recherche de toutes les mauvaises choses possibles, mais sur l'identification des indicateurs uniques des comportements et des actions d'attaque.
En d'autres termes, l'objectif n'est plus d'identifier ce qu'est un objet, mais ce qu'il fait. Bien que les attaquants puissent dissimuler leurs menaces en apportant de légères modifications à malware ou en achetant un nouveau domaine, les actions et les objectifs d'une attaque sont toujours les mêmes.
Par exemple, pratiquement toutes les attaques doivent établir une certaine forme de communication cachée afin que l'acteur malveillant puisse coordonner et gérer l'attaque. L'attaque doit également se propager en interne, compromettre davantage de dispositifs internes et d'informations d'identification, et finalement détruire des actifs ou les exfiltrer du réseau.
Pratiquement toutes les attaques doivent établir une forme de communication cachée afin de coordonner et de gérer l'attaque.
En se concentrant sur les comportements d'attaque, les défenseurs peuvent combattre et gagner la guerre asymétrique de la cybersécurité en faisant pencher la balance de la sécurité en leur faveur. Au lieu d'utiliser des milliers de signatures pour trouver toutes les variantes d'une menace, ils peuvent se concentrer sur quelques dizaines de comportements clés que les attaquants doivent adopter pour réussir.
L'une des caractéristiques les plus reconnaissables des violations de données des réseaux modernes est qu'elles évoluent au fil du temps. Cette approche lente est devenue la procédure opérationnelle standard pour les attaques sophistiquées, et ce pour une bonne raison. La sécurité traditionnelle souffre d'une mémoire à court terme et d'une forme d'amnésie parfaite après une violation.
La sécurité traditionnelle souffre d'une mémoire à court terme et d'une forme d'amnésie parfaite après la violation.
Le nouveau modèle de détection des menaces reconnaît les menaces en temps réel et identifie les signes d'attaque qui évoluent au fil du temps. L'un n'exclut pas l'autre. Par exemple, de petites anomalies de temps et de cadence au sein d'une session réseau peuvent révéler des tunnels cachés et des outils d'accès à distance utilisés par les attaquants.
À l'inverse, pour savoir si les informations d'identification d'un employé ont été compromises, il peut être nécessaire d'apprendre les comportements normaux de l'utilisateur sur une période de plusieurs jours, semaines ou mois. Bien que l'échelle de temps puisse être très petite ou très longue, les deux cas nécessitent une compréhension fine des menaces en fonction du temps.
Pour apporter une valeur ajoutée, la sécurité doit identifier les risques réels pour l'entreprise et ne pas se contenter de fournir une liste d'alertes. Pour ce faire, les solutions de sécurité doivent comprendre comment les événements individuels sont interconnectés et l'impact que ces menaces ont sur les actifs d'une organisation.
Il faut pour cela combiner le contexte de la menace et le contexte organisationnel. La capacité à faire le lien entre les différentes phases d'une attaque est précisément ce qui distingue une attaque ciblée du flot de menaces de base qui inondent les réseaux quotidiennement.
Pour répondre à ces exigences, la science des données et les techniques d'apprentissage automatique peuvent être appliquées directement au trafic réseau. Le tout nouveau modèle de détection des menaces utilise ces deux techniques pour révéler de manière proactive les attaques cachées au sein d'un réseau.
La science des données et l'apprentissage automatique sont devenus des mots à la mode dans l'industrie, avec un éventail apparemment infini de revendications et d'applications. Il est important de comprendre qu'il s'agit simplement d'outils et non d'une panacée pour tous les problèmes de sécurité.
Pour éviter le matraquage publicitaire, il est essentiel de comprendre exactement ce que ces approches apportent, en quoi elles diffèrent des autres, et quelles sont leurs forces et leurs faiblesses.
La science des données représente un changement fondamental dans le domaine de la sécurité. Contrairement à une approche basée sur les signatures qui établit une correspondance 1 pour 1 entre les menaces et les contre-mesures, la science des données utilise l'apprentissage collectif de toutes les menaces observées dans le passé pour identifier de manière proactive de nouvelles menaces qui n'ont pas été vues auparavant.
Imaginez un élève qui apprend une nouvelle matière à l'école. Mémoriser les réponses à un test peut permettre d'obtenir une bonne note, mais cette approche ne permet pas d'apprendre à résoudre un problème.
À long terme, il est essentiel de comprendre le quoi, le quand, le pourquoi et le comment. La connaissance et l'intelligence réelles sont bien plus avantageuses lorsqu'il s'agit d'évaluer et de résoudre de nouveaux problèmes qui n'ont jamais été rencontrés auparavant.
Il s'agit là d'une distinction essentielle lorsque l'on utilise la science des données pour détecter des menaces. Pour que le modèle traditionnel fonctionne, toutes les réponses doivent être connues à l'avance. Par exemple, le domaine ACME.com s'est mal comporté par le passé, il est donc mauvais.
La science des données s'attend à ce qu'on lui pose de vraies questions et applique l'apprentissage collectif pour évaluer une inconnue.
Dans un autre scénario, ACME123.com ne s'est jamais mal comporté par le passé, mais le trafic en provenance et à destination de ce domaine présente quatre comportements différents, dont la combinaison correspond à un comportement d'attaque de type "command-and-control".
À partir de la connaissance collective des menaces recueillies dans le monde réel, il est possible d'identifier le domaine comme agissant mal en fonction de son comportement.
Les modèles de science des données dépendent naturellement de la qualité des données qu'ils analysent, et c'est particulièrement vrai dans le domaine de la cybersécurité. Il est essentiel pour les solutions de cybersécurité de détecter les menaces furtives qui échappent aux contrôles traditionnels, et ce travail nécessite un accès direct et de première main à l'ensemble du trafic réseau.
La grande majorité des approches qui utilisent la science des données pour détecter les menaces procèdent à l'exploration de données à partir de grandes bases de données de journaux d'événements. Bien que cette approche permette de trouver des corrélations entre les journaux qui n'avaient pas été détectées auparavant, elle présente des limites inquiétantes.
Les journaux sont une source secondaire de données qui résument brièvement un événement. Les informations qui ne figurent pas dans un journal sont perdues et ne peuvent être analysées. En outre, la qualité des journaux dépend du système qui les génère. Si un pare-feu ou un dispositif de sécurité en amont ne détecte pas une menace, il n'y aura pas de journal à analyser.
Les limites des données de connexion sont déconcertantes. Le rôle d'une solution de cybersécurité est de détecter les menaces qui échappent aux couches de défense standard. Il n'est guère logique de ré-analyser des résumés provenant d'appareils qui n'ont déjà pas réussi à détecter une menace.
Il n'est guère logique de réanalyser les journaux des appareils qui n'ont pas réussi à détecter une menace.
NetFlow et d'autres résumés de flux souffrent de limitations similaires. Les données de flux surveillent et suivent les performances de la plomberie du réseau. Ces résumés se limitent à suivre la direction et le volume du trafic réseau et ne permettent pas d'avoir la visibilité directe nécessaire pour trouver une menace cachée et très évasive.
Les modèles de science des données sont beaucoup plus performants lorsqu'ils sont appliqués à des données de meilleure qualité. Au lieu de se contenter d'exploiter des données provenant de sources défectueuses, le nouveau modèle de détection des menaces applique la science des données et l'apprentissage automatique au trafic réseau au niveau des paquets.
Cet accès direct et de première main au trafic représente un tout nouveau style de détection des menaces. Au lieu de corréler les événements ou d'apprendre de simples lignes de base, la détection avancée des menaces construit des modèles en temps réel qui reconnaissent les comportements du trafic malveillant.
Les cyberattaques évoluent sans cesse. Mais en conservant une visibilité directe sur le trafic, le nouveau modèle de détection des menaces peut toujours s'adapter pour identifier les nouvelles techniques et stratégies d'attaque. Il s'agit là d'un contraste frappant avec les systèmes basés sur les journaux et les flux, qui dépendent toujours de sources de données en amont.
La popularité et l'intérêt pour la science des données et l'apprentissage automatique ont fait de ces deux termes des expressions accrocheuses, ce qui rend difficile la distinction entre l'un et l'autre.
La science des données s'intéresse largement aux nombreuses façons dont les connaissances peuvent être extraites des données. Sa perspective globale couvre un large éventail de disciplines, dont les mathématiques, les statistiques, l'apprentissage automatique et une variété d'analyses, pour n'en citer que quelques-unes.
Il est important de noter que l'apprentissage automatique est un sous-ensemble de la science des données. Le nouveau modèle de détection des menaces s'appuie également sur un large éventail de techniques de science des données qui comprennent l'apprentissage automatique supervisé et non supervisé, les modèles mathématiques heuristiques de détection, la modélisation statistique et l'analyse comportementale.
L'apprentissage automatique permet aux logiciels d'apprendre de manière itérative à partir de données et de s'adapter sans être explicitement programmés. Dans le contexte de la détection des menaces, l'apprentissage automatique identifie et apprend des modèles de comportement qui révèlent une attaque.
Dans le contexte de la détection des menaces, l'apprentissage automatique identifie et apprend des modèles de comportement qui révèlent une attaque.
La détection des menaces nécessite deux types d'ensembles de données de haut niveau. Le premier est un ensemble global d'expériences qui indique en quoi les menaces diffèrent d'un trafic normal ou bénin. Le second est un ensemble local d'expériences qui révèlent des comportements inhabituels ou anormaux dans un environnement particulier.
La première approche révèle les comportements qui sont toujours mauvais, quel que soit le réseau dans lequel ils se produisent, et la seconde révèle les menaces en fonction du contexte local. Ces deux approches sont essentielles à la détection des menaces et doivent fonctionner en coopération.
L'apprentissage automatique supervisé répond à la première approche en analysant les sites malware, les menaces et les techniques d'attaque connues. Il est guidé par des chercheurs en sécurité et des scientifiques des données qui identifient les comportements post-exploitation fondamentaux qui sont cohérents dans toutes les variantes. Cette analyse alimente ensuite des algorithmes qui détectent les comportements malveillants sous-jacents dans le trafic réseau.
Bien que les renseignements globaux soient extrêmement utiles, certaines attaques ne peuvent être révélées que si l'on comprend le contexte local du réseau cible. L'apprentissage automatique non supervisé fait référence à des modèles qui reconnaissent de manière proactive ce qui est normal pour un réseau particulier et lorsque les comportements s'écartent de cette norme.
Les deux types d'apprentissage automatique sont essentiels et fonctionnent ensemble pour détecter les menaces cachées. De même, les deux styles soutiennent les algorithmes de détection basés sur des informations observées sur de longues périodes de temps.
Au lieu de détecter en quelques millisecondes sur la base d'un seul paquet ou flux de données, le nouveau modèle de détection des menaces apprend et identifie les modèles de comportement des attaques sur des périodes allant de quelques secondes à plusieurs semaines.
Le modèle de détection des menaces le plus récent et le plus avancé combine un large éventail de renseignements et de techniques de détection de pointe afin de détecter les menaces sous tous les angles et en temps réel. Il s'agit d'une nouvelle méthode de détection, plus efficace et plus performante, qui s'appuie sur la science des données pour détecter les menaces que les modèles de sécurité traditionnels ne parviennent pas à détecter.