La fièvre de l’automatisation gagne la cybersécurité
Tandis que le nombre d’attaques informatiques en tous genres ne cesse de croître, les experts misent sur l’automatisation et l’intelligence artificielle pour faire face à la menace alors que le nombre d’analystes reste insuffisant. Une tendance de fond dans la cybersécurité. Le chiffre semble incroyable et pourtant il se confirme année après année. Selon la dernière édition de l’étude du Ponemon Institute sur le coût des fuites de données, il faut en moyenne 197 jours à une entreprise pour se rendre compte qu’elle est victime d’une fuite de données, et 69 jours pour colmater la brèche ! C’est bien plus de temps qu’il n’en faut pour qu’un pirate siphonne toutes les données disponibles et les mette en vente sur le Darknet. Il est bien évidemment possible de muscler la protection des données en mettant en place des outils de DLP (Data Loss Prevention), de PAM (Privileged Access Management) pour s’assurer qu’un pirate ou un collaborateur peu scrupuleux n’utilise pas un compte de l’entreprise pour exfiltrer des données, ou encore mettre en place un SIEM pour mieux exploiter les logs d’activité des serveurs et équipements réseau. La limite numéro un de cette approche, c’est à la fois le traitement de la masse d’informations que l’ensemble des briques de sécurité, les serveurs et les postes clients vont générer chaque jour, mais aussi le manque de ressources humaines requises pour traiter et exploiter efficacement ces données. Bon nombre de déploiements d’IPS/ IDS (Intrusion Detection Systems / Intrusion Prevention Systems) dans les années 2000 ont été des échecs du fait de l’avalanche d’alertes générées par ces boîtiers, qu’il s’agisse d’alertes avérées ou de faux positifs, une masse d’informations dont plus personne ne pouvait tenir compte. Avec le SIEM (Security Information and Event Management), les analystes de sécurité ont pu disposer d’un système capable de centraliser des masses de données considérables et si les solutions les plus modernes offrent des outils de data visualization performants, les masses d’événements et d’alertes générées poussent les analystes à se concentrer sur les alertes prioritaires, et probablement à négliger les signaux faibles qui pourraient trahir une APT (Advanced Persistent Threat), une attaque latente visant spécifiquement l’entreprise.
Si les SIEM modernes offrent des outils de manipulation et de visualisation de données efficaces, les analystes en cybersécurité sont confrontés chaque jour à un déluge d’informations à traiter.
Les techno Big Data au secours de l’analyste en cybersécurité
Si un analyste va traiter en moyenne de 10 à 20 incidents par jour, comment faire quand ce sont plusieurs centaines d’incidents de sécurité qui sont remontés chaque jour par l’infrastructure ? Ajouter du personnel pour traiter ces alertes reste difficile pour les entreprises tant les profils de cyber-analystes sont rares, chers et accessoirement très volatils. Beaucoup d’éditeurs misent sur le Machine Learning pour assister l’analyste, leur faciliter le travail en corrélant les données pour eux et en repérant des patterns complexes dans les masses de données glanées par le SIEM. C’est notamment le cas du français ITrust qui travaille sur des modèles d’IA de détection pour son offre Reveelium. C’est bien évidemment le cas d’IBM qui pousse son offre d’IA Watson dans le domaine de la cybersécurité. Désormais, les entreprises qui exploitent le SIEM IBM QRadar peuvent assortir le SIEM de QRadar Advisor with Watson, les algorithmes d’IA permettant d’une part d’identifier des comportements à risque et enfin, en cas d’attaque, de bénéficier d’outils afin d’identifier au plus vite la faille de sécurité à l’origine de la fuite de données (root-cause analysis) et rapidement identifier le périmètre touché par l’attaque.
Les grandes fonctions d’une solution de SOAR (Security Orchestration, Automation and Response), selon les analystes de Gartner.
Mickaël Le Floch, Security Architect Leader chez IBM Security, détaille le rôle que joue Watson par rapport aux autres briques de sécurité : « l’infrastructure génère beaucoup d’événements de sécurité qui sont collectés par QRadar, notre SIEM. Celui-ci va détecter les incidents de sécurité grâce aux règles de corrélation définies sur la plate-forme. L’analyste prend connaissance des alertes et va consulter les éléments qui ont contribué à la génération de l’alerte en croisant ces données avec les informations mises à disposition dans notre plate-forme de veille de sécurité X-Force Exchange. L’analyste va pouvoir compléter son analyse avec ce que lui fournit alors notre plateforme d’intelligence augmentée Watson. Ses algorithmes de Deep Learning exploitent les informations mises à disposition par l’ensemble des acteurs de la cybersécurité, comme Symantec, FireEye, McAfee, tous les blogs et forums spécialisés en cybersécurité, les documents publiés sur les vulnérabilités, et ainsi catégoriser l’ensemble de ces informations et les indexer dans une base de données centrale. QRadar envoie ses observations comme adresses IP malveillantes, informations sur les fichiers malveillants, et Watson va fournir à QRadar l’ensemble des informations liées à cet incident de sécurité. » L’analyste va ainsi pouvoir très vite générer un ticket d’incident et lancer la procédure de remédiation de l’attaque si les éléments fournis par Watson sont suffisamment convaincants. L’analyste de niveau 2 va disposer d’une visualisation graphique du raisonnement de Watson, consulter l’ensemble des branches qui ont mené Watson à suggérer que l’incident de sécurité est une vraie attaque. Grâce à l’ensemble de ces éléments, celui-ci va pouvoir agir plus efficacement.
L’IA est un outil permettant de faciliter le travail des analystes en cybersécurité. L’outil IBM Security QRadar Advisor bénéficie des capacités de Watson Analysis pour l’analyse des incidents de sécurité.
L’IA prendra-t-elle les commandes ? Pas sûr !
IBM présente son Watson for Cyber Security comme une solution pour aider l’analyste, en faire un expert augmenté, mais déjà certains imaginent une Intelligence artificielle plus proactive, une Intelligence artificielle qui va contrer elle-même l’attaque qu’elle a pu détecter. Actuellement, remplacer le RSSI et l’analyste de sécurité par une IA n’est pas à l’ordre du jour, néanmoins confier la cybersécurité du système d’information à une IA n’est pas un scénario totalement illusoire. Dès 2016, la Darpa, bras armé dans la recherche de l’armée américaine, a lancé le Cyber Grand Challenge, avec huit équipes opposées en mode attaque/défense de manière autonome. Une machine devait en attaquer les autres de manière autonome, chaque défenseur devant prendre les mesures nécessaires pour se protéger afin que les applications exécutées restent en ligne le plus longtemps possible sous le feu des attaques. Preuve du sérieux de l’expérience, le Darpa a investi 70 millions de dollars pour organiser ce concours et, de l’avis des experts, les résultats ont été particulièrement impressionnants. Quatre ans plus tard, aucun acteur de la sécurité n’est aujourd’hui capable de commercialiser une IA pouvant fonctionner de manière autonome pour sécuriser un système d’information. Tous les éditeurs présentent leurs outils d’IA comme des aides aux analystes de sécurité. La technologie n’est pas là et les DSI et Ciso ne souhaitent pas laisser des algorithmes décider seuls des règles de sécurité à appliquer sur leur système d’information, ou laisser à un algorithme la décision de placer des ressources critiques en quarantaine en cas d’incident. « Quand on interroge les professionnels de la sécurité sur l’automatisation, ceux-ci ne l’envisagent que pour des tâches de faible valeur ajoutée comme les tests de signatures, tester les patchs avant déploiement. Ils sont beaucoup plus sceptiques quant à l’automatisation de tâches plus complexes », expliquait ainsi Candace Worley, Vice President et Chief Technical Strategist chez McAfee, lors des dernières Assises de la sécurité. « Ils donnent deux raisons à cela : d’une part, ils ont peur que cette automatisation ne fasse courir un risque sur les opérations business ; l’autre point concerne directement la crédibilité de l’équipe de sécurité. » On imagine l’effet qu’un arrêt des serveurs de production d’une banque ou d’un site d’e-Commerce ordonné par un algorithme d’IA sur un faux positif pourrait avoir sur la carrière du DSI et des RSSI… Pourtant, la responsable souligne que le centre d’opération de la cybersécurité d’une grande entreprise (SOC) traite une moyenne de 3,2 milliards d’événements de sécurité par mois, une masse dans laquelle seulement 31 événements sont réellement importants ! Face à une telle avalanche d’informations, trouver une aiguille dans une botte de foin semble être une promenade de santé et l’automatisation apparaît comme la seule solution pérenne pour y faire face. Pour Candace Worley, les grands SOC sont actuellement les plus matures dans la démarche d’automatisation, avec un taux de 75 % des processus automatisés chez les acteurs du marché les plus matures et 30 % chez ceux qui sont moins avancés dans la démarche. Pour les opérateurs de services de sécurité, l’automatisation est clairement un moyen de faire face au manque de ressources humaines dans le métier. Les algorithmes d’Intelligence artificielle sont aussi vus comme un moyen d’automatiser des tâches plus complexes, mais Candace Worley insiste sur la complémentarité entre algorithmes et analystes humains comme moyen d’étendre à large échelle l’automatisation.
Avec l’acquisition de Carbon Black, VMware a étendu les capacités de sa plate-forme en termes de cybersécurité, notamment dans sa capacité de réponse temps réel.
La technologie monte en puissance dans les briques de sécurité
Bien placé pour observer le trafic réseau et le fonctionnement des serveurs, VMware milite en faveur d’une vision unifiée de la sécurité. Rajiv Ramaswami, COO de VMware explique : « Les entreprises ont de 50 à 100 solutions de sécurité différentes pour protéger leur système d’information. C’est énorme et c’est un problème. Il faut aujourd’hui revoir cette approche pour aller vers un modèle où la sécurité est intégrée à l’architecture, une approche non plus réactive mais proactive, une approche dans laquelle les silos sont alignés. » Sans surprise, VMware pousse la virtualisation comme une approche plus sûre en ce sens que l’hyperviseur dispose de notions de contexte vis-à-vis des applications qui s’exécute, peut se passer d’agent, assurer l’isolation entre les machines mais aussi collecter des données de fonctionnement sur les instances et ainsi alimenter une approche analytique. « Avec le Machine Learning, nous avons la capacité d’analyser le comportement de chaque workload, être alerté si le comportement de l’une d’elles dévie par rapport à son fonctionnement habituel », ajoute Rajiv Ramaswami. « Si une attaque est détectée, il faut être capable d’augmenter le niveau de sécurité afin de protéger les workloads. » Pour l’heure, l’IA n’a certes pas les commandes de la cybersécurité, mais la technologie monte en puissance dans de nombreuses briques de sécurité, qu’il s’agisse d’aider les analystes mais aussi identifier les comportements suspects sur les réseaux, sur les serveurs et sur les terminaux. Les solutions comportementales à base de Machine Learning se sont très largement imposées tant au niveau réseau avec l’essor des solutions UEBA (User and Entity Behavior Analytics), qu’au niveau des postes clients. Tous les éditeurs ont embarqué des modèles d’IA dans leurs logiciels antivirus afin de détecter les malwares, dont ils n’ont pas la signature, et identifier les comportements anormaux. L’IA n’est pas une solution miracle et peut être ellemême détournée par les attaquants, comme l’ont montré cette année les chercheurs de Skylight en détournant l’algorithme de Machine Learning de BlackBerry Cylance, mais l’IA vient compléter les très nombreux moteurs de détection des antivirus modernes.
Candace Worley, Vice President et Chief Technical Strategist chez McAfee, a axé sa présentation sur l’automatisation des processus de cybersécurité lors des dernières Assises de la sécurité.