Fortinet : l’automatisation pour juguler les menaces
Derek Manky, Chief, Security Insights & Global Threat Alliances

Le fuzzing des fonctions d’intelligence artificielle et le machine learning poisoning feront émerger de nouvelles vulnérabilités réseau et logicielles

Nous constatons que les outils et services des cybercriminels progressent et qu’ils font appel à l’automatisation et à l’intelligence artificielle. Les organisations doivent repenser leur stratégie pour mieux anticiper les menaces et combattre cet appétit financier qui incite les cybercriminels à concevoir de nouvelles armes. Mais plutôt que de s’engager dans une course permanente à l’armement, les entreprises doivent, elles aussi, miser sur l’automatisation et l’intelligence artificielle pour accélérer la détection des intrusions et leur remédiation. Cet objectif implique d’intégrer étroitement les modules de sécurité au sein d’une Security Fabric consolidée qui partage en temps réel les informations sur les menaces. L’objectif ? Concrétiser une protection et une visibilité élargies à l’ensemble des segments du réseau, de l’Internet des Objets aux multiples environnements cloud.

Fortinet (dévoile les prédictions de ses équipes FortiGuard Labs en matière de sécurité et de menaces pour 2019 et au-delà.

Des cyberattaques plus intelligentes et sophistiquées
En général, les groupuscules cybercriminels évaluent les techniques d’attaque selon des critères d’efficacité, mais aussi de charge de travail nécessaire pour concevoir, modifier et mettre en œuvre ces attaques. Au final, il est possible de contrer les stratégies d’attaques en s’intéressant au modèle économique des cybercriminels. Des changements stratégiques au niveau des personnes, des processus et des technologies incitent les cybercriminels à s’interroger sur leur intérêt à cibler certaines organisations. Pour y parvenir, les entreprises peuvent adopter de nouvelles technologies et stratégies, comme le machine learning et l’automatisation, pour simplifier des activités complexes et chronophages qui font appel à des interventions et à une supervision humaine. Ces nouvelles stratégies de défense devraient impacter l’approche des cybercriminels, en les incitant à faire évoluer leurs méthodes d’attaque et à faire davantage appel au machine learning et à l’automatisation. Pour s’y adapter, les cybercriminels pourraient bien opter pour les stratégies suivantes, qui doivent faire l’objet de toutes les attentions de la part du secteur de la cybersécurité.

AIF (Artificial Intelligence Fuzzing) et vulnérabilités
Le fuzzing est une technique sophistiquée utilisée en laboratoire par les chercheurs en menaces pour identifier les vulnérabilités des interfaces matérielles et logicielles, ainsi que des applications. Ce processus consiste à injecter des données invalides, inattendues et semi-aléatoires à des fins de test, et d’observer les événements qui en résultent : plantages, appels non-prévus à des routines de débogage, échecs d’assertion dans le code, fuites de mémoire potentielles… Cette technique est traditionnellement l’apanage de quelques rares ingénieurs ultra-compétents réalisant leurs travaux en laboratoire. Désormais, puisque des modèles de machine learning peuvent être utilisés, nous estimons que cette technique gagnera en efficacité et en personnalisation, et qu’elle sera à la portée de profils moins techniques. Alors que les cybercriminels commencent à tirer parti du machine learning pour concevoir des programmes automatisés de fuzzing, ils pourront accélérer la découverte des vulnérabilités zero-day, entraînant ainsi une recrudescence d’attaques zero-day qui ciblent différents programmes et plateformes.

– AIF et identification des exploits zero-day : la technique AIF peut être appliquée à un code logiciel, au sein d’un environnement contrôlé, pour détecter des exploits zero-day et accélérer la conception de kits d’exploit associés. Une fois le processus validé et optimisé, la détection zero-day pourra être proposée en tant que service, pour créer des attaques sur–mesure pour des cibles spécifiques. Les entreprises, de leur côté, doivent repenser leur approche à la sécurité puisqu’il sera impossible d’anticiper où les vulnérabilités zero-day apparaîtront, et encore moins de s’en défendre proactivement. Voilà qui s’annonce un vrai défi pour les entreprises qui se contentent d’utiliser leurs outils existants et cloisonnés de sécurité déployés sur leur réseau.

– Le coût des exploits zero-day : historiquement, le coût des exploits zero-day a toujours été élevé, essentiellement pour des questions de temps, d’efforts et de compétences requises. Néanmoins, lorsqu’adossés à des techniques d’intelligence artificielle, de tels exploits vont pouvoir se généraliser. Nous connaissons déjà ces multiples exploits classiques associés à des ransomwares et des botnets, et qui ont repoussé nombre d’outils traditionnels de sécurité dans leurs retranchements. L’accélération dans le nombre et la diversité des vulnérabilités identifiées, associée à une capacité à concevoir rapidement des kits d’exploit zero-day et à les fournir en tant que service, vont impacter les types et les coûts des services proposés au sein du Dark Web.

Swarm-as-a-Service
Les progrès des attaques sophistiquées et optimisées par les technologies de swarming soulignent que les botnets de swarm, appelés également hivenets sont devenus une réalité. Cette menace tire parti d’une armée étendue de bots intelligents qui fonctionnent de manière autonome ou collaborative. Ces réseaux swarm vont relever la barre en termes de technologies nécessaires pour protéger les entreprises. D’autre part, tout comme la détection zero-day, le swarming impactera le modèle économique des cybercriminels. Au final, face à l’évolution des attaques et des technologies d’exploit, l’impact le plus significatif portera sur les modèles économiques des cybercriminels.

Actuellement, l’écosystème cybercriminel se base essentiellement sur les personnes. Certains hackers professionnels proposent leurs services pour concevoir des exploits personnalisés contre rémunération. D’autre part, les innovations telles que le Ransomware-as-a-Service nécessitent des ingénieurs black hat pour concevoir et tester les exploits et gérer les serveurs C&C. Cependant, avec un service de swarming autonome et qui apprend automatiquement, les interactions directes entre un cybercriminel client et un ingénieur black hat seront forcément moins nombreuses.

– Les swarms à la carte : la capacité à dissocier un swarm en différentes tâches pour obtenir le résultat désiré présente des similitudes à la façon dont le monde a migré vers la virtualisation. Au sein d’un réseau virtualisé, les ressources peuvent créer ou supprimer des machines virtuelles selon le contexte et l’objectif (gérer la bande passante par exemple). De manière similaire, les ressources d’un réseau swarm peuvent être attribuées ou ré-attribuées pour répondre aux défis spécifiques rencontrés dans une chaîne d’attaque. Un swarm doté d’un panel d’outils d’analyse et d’exploits peut être associé à des protocoles d’apprentissage automatique qui permettent à différents swarms de collaborer entre eux pour améliorer les méthodes d’attaque. Ceci permet aux cybercriminels de mener une attaque de manière simple et avec des options à la carte.

Le Machine Learning poisoning
Le machine learning est l’une des techniques les plus prometteuses dans l’arsenal de défense des entreprises. Les dispositifs et systèmes de sécurité peuvent être entraînés à réaliser certaines tâches spécifiques, comme évaluer les comportements, procéder à un traitement analytique des données comportementales pour identifier les menaces sophistiquées, ou assurer le suivi et le patching des équipements. Malheureusement, ces processus peuvent être exploités par les cybercriminels dans le cadre de leurs exactions. En ciblant les fonctions de machine learning, ils sont susceptibles de « former » les systèmes et équipements à ne pas appliquer de patchs ou de mises à jour à un dispositif précis, à ignorer des types précis d’application ou de comportement, ou ne pas mettre en log des flux spécifiques afin de contourner toute détection. Ces possibilités vont impacter l’évolution future du machine learning et de l’intelligence artificielle.

Des défenses plus sophistiquées
En réponse à ces nouvelles orientations, les entreprises devront rendre la tâche des cybercriminels plus complexe. Chacune des stratégies de défense décrites ci-après impactera les organisations cybercriminelles, en les forçant à changer de tactique, à modifier leurs attaques et à concevoir de nouvelles méthodes pour évaluer les opportunités. L’exécution des attaques sera, in fine, plus onéreuse. Les assaillants devront donc dépenser davantage pour un même résultat ou identifier des réseaux plus simples à pirater.

– Des subterfuges sophistiqués : user de subterfuges dans les stratégies de sécurité consiste à offrir de fausses informations réseau. Les assaillants doivent alors valider leurs informations sur les menaces, consacrer du temps et des ressources pour détecter les faux-positifs et s’assurer que les ressources du réseau qu’ils voient sont réelles. Toute attaque sur une fausse ressource du réseau peut être immédiatement détectée et déclenchée des contre-mesures. Les assaillants devront donc se montrer plus prudents, même lorsqu’ils réalisent des tâches basiques comme explorer un réseau ciblé.

– Une collaboration unifiée et ouverte : pour un cybercriminel, une des méthodes pour optimiser l’impact d’une attaque existante et contourner les fonctions de sécurité en place consiste à réaliser des changements mineurs, comme par exemple changer une adresse IP. Ces changements peuvent être identifiés via un partage actif des données de veille sur les menaces. Une veille actualisée en permanence permet aux éditeurs d’outils de sécurité de garder une longueur d’avance sur des menaces en forte mutation. La collaboration ouverte entre les acteurs de la recherche sur les menaces, les organismes professionnels du secteur, les fournisseurs de solutions de sécurité et les forces de l’ordre permettront d’accélérer la détection de nouvelles menaces, grâce à une divulgation et à un partage des tactiques utilisées par les assaillants. Plutôt que de se contenter d’être réactifs, l’analyse en temps réel de données comportementales associées à des flux de données, dans le cadre d’une collaboration ouverte, permettra aux entreprises de prédire le comportement d’un malware, pour ainsi rendre caduque le modèle actuel des cybercriminels qui consiste à tirer parti à répétition de malwares existants en ne réalisant que des changements mineurs.

– Rapidité, intégration et automatisation : des fondamentaux essentiels de la cybersécurité
Une stratégie de défense fondée sur l’automatisation ou le machine learning exige de recueillir, traiter et manipuler les informations sur les menaces de manière intégrée, pour aboutir à une réponse intelligente. En réponse à la sophistication croissante des menaces, les organisations doivent intégrer tous les modules de sécurité au sein d’une Security Fabric afin de répondre aux menaces avec rapidité et à grande échelle. Une veille évoluée sur les menaces, corrélée et partagée sur l’ensemble des modules de sécurité, doit être automatisée pour accélérer la détection et la remédiation. L’intégration de produits de sécurité spécifique sur l’ensemble du réseau d’entreprise, associé à une segmentation stratégique, permettra de mieux lutter contre des attaques toujours plus intelligentes et automatisées.