Introduction
Depuis toujours, il est avéré que les attaquants innovent beaucoup plus rapidement que ne le font les équipes de défense. Selon le rapport M-Trends 2016, cette innovation garantit aux pirates une fenêtre d’activité de 143 jours en moyenne avant d’être détectés, et ce avec des solutions et infrastructures de sécurité classiques.
Ce constat a conduit de nombreuses entreprises à se tourner vers de nouvelles méthodes et technologies afin de réduire au maximum la fenêtre d’attaque. Nous présentons à travers cet article trois nouvelles orientations techniques de détection et de réponse aux cyber-attaques ayant des implémentations concrètes, ainsi qu’un retour d’expérience.
Threat intelligence
Les entreprises ont donc considérablement investi, depuis fort longtemps, afin d’obtenir le maximum d’informations, dans des solutions sécurité classiques comme les SIEM (Security Information and Event Management), des IPS/IDS (Intrusion Prevention and Intrusion Detection Systems) et des solutions d’infrastructure (Firewall, Proxy, etc.). En conséquence, elles reçoivent, en une semaine, une moyenne de près de 17.000 alertes relatives aux logiciels malveillants (Malwares) selon le rapport de l’Institut Ponemon. Or, dans les faits, seuls 4% de ces alertes sont réellement étudiées. La raison principale est que les signes les plus pertinents d’une intrusion sont simplement noyés dans la masse d’information, parasites et bruit blanc. Afin de remédier à ce problème, les équipes de sécurité doivent mieux configurer leurs solutions et leurs systèmes, avec une finesse accrue, afin de produire moins d’alertes.
Ainsi, une plate-forme de Cyber Threat Intelligence (CTI) a pour objectif de réduire de manière significative le temps passé par les analystes des données à regrouper et rationaliser les menaces qu’ils reçoivent. A travers ce service, les experts sécurité pourront disposer d’informations sur les tendances d’attaques en cours, et collecter et rechercher les indicateurs de compromission significatifs (IOC) comme les adresses IPs malveillantes, les URLs sources d’attaques, les hashs/empreintes de fichiers malveillants, etc.
Ce service apportera également une identification plus précise :
- des sources de menaces et des données utiles dans l’environnement de l’entreprise
- de la motivation de l’exploitant de la menace (en l’occurrence, l’attaquant)
- des risques qu’encoure l’entreprise suite à une violation des données, telles que la perte financière ou l’atteinte à la réputation
- des attaques dont d’autres organisations similaires sont victimes
- des types d’attaques auxquelles la société est susceptible d’être confrontée, en fonction des priorités.
Les IoC et informations collectées peuvent être utilisés de manière proactive en enrichissant les règles de filtrage ou de corrélation sur les composants de sécurité (Firewall, IDS/IPS, Anti-DDoS), mais également durant les phases d’investigation et de réponse aux incidents.
Toutefois, la CTI ne peut pas être invoquée comme le seul moyen important de défense. Pour lutter contre les menaces modernes, il est crucial de diversifier sa boîte à outils des mesures défensives.
Automatisation de la réponse aux incidents
Soutenue par un personnel adapté et les outils appropriés, la CTI prend ainsi le rôle d’un démultiplicateur de force pour les équipes qui l’utilisent, permettant d’exploiter plus efficacement les autres outils et mesures de sécurité ; Les équipes de sécurité peuvent ainsi se concentrer sur l’essentiel : les éléments et attaques les plus critiques.
Or il n’est pas rare aujourd’hui de voir que des équipes CSIRT ou SOC traitent des centaines d’incidents de sécurité tous les jours, au risque que certaines attaques, souvent les plus importantes, ne soient pas correctement qualifiées voire même identifiées. Quand on ajoute à cela la charge de travail importante associée à chaque incident remonté – collecte d’informations, création de tickets d’incident, envoi de courriels, génération de rapports, etc.- on peut mesurer rapidement la double peine subie par l’équipe de réponse aux incidents.
Fort de ce constat, il est devenu indispensable de construire des réponses intelligentes et automatiques pour les menaces communes, qu’elles soient connues ou qu’elles puissent faire l’objet d’un retour d’expérience mature. Ceci permettrait de réduire le temps de réponse de plusieurs jours à quelques minutes et d’enrichir la base de connaissance des menaces internes et externes.
Prenons un exemple pour illustrer les nouvelles méthodes possibles. Lorsqu’une alerte est générée par des solutions de sécurité (IDS/IPS, SIEM, Proxy), le cyber-analyste du SOC/CSIRT doit pouvoir comprendre rapidement la situation et la façon de contenir une menace immédiate, or actuellement cela peut prendre plusieurs heures. Lorsque les terminaux sont impliqués, l’analyste peut avoir besoin de lancer une session à distance, communiquer avec l’utilisateur, réaliser des analyses approfondies sur les impacts d’une attaque supposée, etc.
Avec une approche optimisée, lorsqu’une alerte est générée ou qu’un flux d’IoC est reçu, ceux-ci sont transmis à une fonction EDR (End point Detection and Response), agent furtif installé sur les machines, qui lance une recherche automatique sur les nouveaux fichiers, les journaux d’événements ou les clés de registre, collecte des évidences, dump la RAM, voire même peut arrêter les processus suspects. Dans le meilleur des cas, cette étape prendrait plusieurs heures (5 ou 6) avec un traitement manuel, alors qu’avec un outil adapté, elle prendrait quelques minutes tout au plus.
Ainsi, en automatisant l’enquête et l’assainissement des événements, les outils de réponse automatisée permettent de déterminer rapidement si les alertes sont des menaces bénignes ou réelles et, si elles le sont, aident à contenir la menace le plus rapidement possible.
Cependant, l’un des inconvénients majeurs de cette approche est que les faux positifs ont un réel impact sur la production et ne s’arrêtent pas seulement à de simples parasites, attendus que des actions de remédiation puissent être déclenchées automatiquement. Il est également important de noter que la multiplication d’actions automatiques réduit les compétences et connaissances des équipes SOC/CSIRT qui sont alors coupées des retours d’expérience, de l’origine et de l’enchaînement des événements, et n’ont plus alors qu’une vision parcellaire du symptôme (petite échelle) sans percevoir la cause ou pouvoir appréhender l’attaque dans son intégralité (grande échelle).
Machine Learning
L’autre apport de cette technologie est la création d’une base de comportements normaux ou communs d’un utilisateur ou d’un système, sous forme d’une photo instantanée, ou « snapshot ». Cette base sera ainsi utilisée pour détecter toute activité anormale qui sortirait de la ligne zéro/ ligne de base (processus, clés de registres, fichiers, connexions ou activités).
Actuellement, le phénomène « machine learning », ou « l’apprentissage machine », transforme un nombre croissant d’industries et est devenu le mot à la mode dans de nombreuses entreprises technologiques. Mais alors que l’emploi est de plus en plus confisqué au profit de robots et l’intelligence artificielle, est- il concevable de transmettre aux machines une responsabilité aussi compliquée que la cybersécurité? Le sujet fait déjà polémique!
Les implémentations actuelles permettent au système de collecter des données à partir d’un mécanisme combinant un agent installé sur les postes clients et des capteurs placés dans certains segments de réseau. Les données sont envoyées à des moteurs d’intelligence et d’analyse du comportement qui utilisent l’apprentissage automatique pour classer les échantillons collectés, et déterminer ainsi le comportement normal et les anomalies.
Cette approche d’autoapprentissage qui met en œuvre une surveillance continue pourrait résoudre le problème de la détection des nouvelles menaces, et ce en créant l’ADN d’un comportement spécifique tout en restant indépendant de règles ou de signatures.
Le principal argument contre ces solutions est qu’elles créent trop de faux positifs. Cet inconvénient est pallié par la pondération et la validation des alertes par une intervention humaine pendant et après la phase de l’apprentissage. Vraisemblablement, le binôme homme – machine/intelligence artificielle restera la solution la plus efficace contre les pirates et cybercriminels !
Conclusion
Le monde de la cyber-sécurité n’est pas complètement impuissant ou démuni contre les pirates et cybercriminels qui sont de plus en plus compétents, déterminés, et organisés. Nous sommes actuellement en pleine effervescence à l’aube d’une nouvelle ère qui mettra à notre disposition des outils et des technologies plus pertinents. Malheureusement nous en sommes encore au début d’un long chemin qui nous imposera de revenir aux fondamentaux: le « Security by Design » dans toutes les briques du SI.
Références
http://www.ponemon.org/ https://www2.fireeye.com/rs/848-DID-242/images/Mtrends2016.pdf
https://www.guidancesoftware.com/docs/default-source/document-library/whitepaper/managing-insider- threats-through-endpoint-detection-and-response.pdf?sfvrsn=6
https://www.blackhat.com/docs/us-15/materials/us-15-Klein-Defeating-Machine-Learning-What-Your- Security-Vendor-Is-Not-Telling-You.pdf
https://en.wikipedia.org/wiki/Secure_by_design
A Survey of Data Mining and Machine Learning Methods for Cyber Security Intrusion Detection, Anna L. Buczak, and Erhan Guven, 2016
Artificial Intelligence in Cyber Defense, Enn Tyugu, 2011
A propos de l’auteur
Helmi RAIS est un expert en cyber-sécurité ayant une quinzaine d’années d’expérience. Il est actuellement Senior Manager chez Alliacom et Manager de l’équipe AlliaCERT (Alliacom Computer Emergency Response Team).
Helmi RAIS est orateur et paneliste dans une cinquantaine d’événements relatifs à la cyber-sécurité (TEDx, ITU, FIRST, OIC-CERT, TFCSIRT, CCDF, CNIS Mag, Securiday). Il est membre fondateur de plusieurs entités : ANSI, AlliaCERT, TUNCERT, OIC-CERT, AfricaCERT DevTeam, et membre du bureau de l’ISC2 Chapter en France.
la newsletter
la newsletter