Si les organisations et éditeurs de solutions de sécurité ont bien compris les enjeux de la gestion des incidents et de leur détection, il semble difficile d’avoir un coup d’avance sur les attaquants. Pour détecter les incidents, voire les anticiper grâce aux signaux faibles, la recherche s’est orientée sur la meilleure manière de repérer les attaquants : scruter les « anomalies de comportements ». Compte tenu du « bruit » toujours plus fort et dense sur les SI, compte tenu de l’expansion et de la porosité de ces SI, les solutions, pour repérer les attaques, ont été conçues de façon à isoler les comportements dits « anormaux » par opposition aux comportements « normaux » des utilisateurs légitimes. Si ce postulat d’anormalité a eu du sens, il en a malheureusement de moins en moins. Pourquoi est-ce devenu si difficile de savoir ce qu’il se passe chez soi ? L’intelligence artificielle est-elle enfin l’arme absolue pour aider l’humain à voir ce qu’il n’est pas capable de voir ?

La détection des anomalies, en passe de sortir du Panthéon des bonnes idées

Il fut un temps où les retours d’expérience des attaques montraient que l’adoption de comportements tels qu’une connexion au SI la nuit, ou d’un pays lointain, ou encore à l’occasion de congés, constituaient des comportements anormaux à l’origine d’attaques.

Aujourd’hui, la société toute entière est hyper connectée, tant dans sa vie professionnelle que privée, et ces usages se mélangent sur les mêmes terminaux. La mobilité et le télé-travail deviennent la règle. Il n’y a donc plus vraiment lieu de considérer ces agissements comme suspects. La dite « anormalité » est bel et bien devenue la norme, et en premier lieu, dans les échelons les plus hauts des organisations.

En outre, les attaquants ne sont pas dupes et ont vite compris la nécessité de se noyer dans la masse, et paraître le plus légitime possible. Ils sont donc devenus maîtres en la matière en compromettant des comptes sans se faire repérer, en pénétrant sur un réseau et en escaladant les privilèges. Il y a en effet plus compliqué pour un attaquant…

En paramétrant les outils des SOC sur ces règles, les effets négatifs sont évidents : Une explosion des flux d’alertes. Difficile alors pour un outil de détection d’anomalies et pour des analystes de sécurité de s’y retrouver dans des flux d’alertes de plus en plus ingérables et une nébuleuse aux comportements multiples.

En somme, se cantonner à de la détection d’anomalie, en partant d’une équation mathématique qui dit que tout ce qui n’est pas normal est anormal, en lieu et place d’étudier le comportement à proprement dit dans ce qu’il a de réellement menaçant et donc de risqué, sans tenir compte des gradations et encore moins du contexte provoque une sur-généralisation du phénomène. Les résultats sont alors biaisés, jusqu’à être contreproductifs. La détection d’anomalies devient plus susceptible de signaler les bons employés effectuant leur travail de manière légèrement inhabituelle que d’identifier et d’exposer un attaquant.

Une analogie intéressante

Une étude américaine de Vectra compare l’échec de la détection d’anomalies ainsi effectuée, avec les effets de la Loi américaine Stop and Frisk.

Cette loi en vigueur à New York permet aux policiers de contrôler, de palper et de fouiller toute personne « raisonnablement » soupçonnée d’avoir commis ou d’être sur le point de commettre un crime. Outre les questions de subjectivité et d’interprétation de cette loi par les policiers sur le terrain, ces contrôles basés sur l’individu plus que sur son comportement en tant que tel n’a eu de cesse de prouver son inefficacité.

Pour preuve, entre 2004 et juin 2012, le département de police de New York a effectué 4,4 millions de contrôles et 2,3 millions de fouilles. 99% des personnes fouillées n’étaient finalement pas armées.

A l’inverse, un contrôle avec un dispositif de rayons T (Terahertz), la dernière trouvaille dans le domaine des ondes électromagnétiques, qui peut détecter à distance et de façon passive des armes ou explosifs, a nettement plus d’efficacité, en recherchant la menace directement et non son potentiel vecteur.

L’étude conclut l’analogie en expliquant que la détection d’anomalies part du même principe que du profilage (éthnique, etc.). La détection par l’analyse des comportements – et non par des règles d’anomalies – que peut permettre l’IA s’approche nettement plus des dispositifs T-ray, en distinguant les comportements anormaux sur la base de règles d’anomalie facilement falsifiables, des indicateurs très spécifiques des comportements réels des attaquants.

Les solutions de détection d’anomalies sont en outre très gourmandes en analystes pour scruter chaque événement suspect, réel ou non. Cette approche est l’antithèse de l’expression « Pas de fumée sans feu. » Ils se battent face à des murs de fumée, sans voir de feu, et donc en restant aveugles aux menaces réelles.

Pour les RSSI, disposer d’une vraie visibilité sur ce qu’il se passe sur leur système d’information, est vraiment la question prioritaire aujourd’hui. L’IA est peut-être enfin la solution pour voir clair.

L’IA, enfin l’ultime solution pour une visibilité sans angle mort et détecter les attaques en temps réel ?

La sécurité traditionnelle était jusqu’alors basée sur le périmètre du réseau de l’entreprise, aujourd’hui ce périmètre a volé en éclat avec l’émergence du Cloud, l’expansion du Shadow IT ou encore l’adoption du BYOD, le silotage des infrastructures, rendant la visibilité des SI particulièrement délicate.

L’IA, tel le T-ray, offre désormais de plus en plus de fonctionnalités en sécurité, à commencer par la capacité d’automatiser le traitement de ces volumes de données, d’alertes, ingérables par l’homme et d’intégrer des algorithmes de machine learning qui détectent les comportements d’attaquants.

Pour rappel, des solutions plus ou moins puissantes existent sur la base d’algorithmes. Ces solutions auto-apprenantes s’enrichissent avec le volume. Elles sont pré-entrainées pour détecter les principaux comportements d’attaques (ransomware, mouvements latéraux, utilisation d’un botnet attaques par brute force, point d’eau, etc.).  C’est la façon dont sont alimentées ces solutions qui font l’efficacité du filtre.

C’est seulement par ce système de tamis hyper-intelligent que l’intelligence humaine pourra faire son œuvre sur les menaces réellement percées à jour, et que le travail des analystes sera utilisé à la bonne échelle. C’est seulement ainsi qu’eux-aussi pourront engranger de l’expérience pour à terme, être en mesure de devancer ces attaques.

__________
Christophe Jolly est Directeur France Vectra AI