[Tribune] L’analyse de la donnée est le principal enjeu de la sécurité du cloud

Ryan Sheldrake, Field CTO, EMEA chez Lacework, explore les enjeux de sécurité des clouds et les derniers développements en termes d’analyse des données.

Ryan Sheldrake Field CTO EMEA chez Lacework

Ryan Sheldrake Field CTO EMEA chez Lacework

L’essor des solutions de cloud computing se traduit par une multiplication du nombre de transactions générées chaque mois. Si la plupart de ces échanges sont légitimes, certains sont malveillants, mais difficiles à identifier, masqués par les millions d’évènements légitimes. La sécurité de l’entreprise dépend désormais des outils dont dispose l’équipe de sécurité pour filtrer et analyser la journalisation et logs d’entreprises.

A lire aussi : Evolution de la menace cyber : le cloud au centre du jeu

Le choix qui s’offre est clair : soit les entreprises attendent que leurs équipes de sécurité se fassent déborder, soit elles adoptent de nouvelles solutions axées sur les données. Pour ce faire, elles ont à leur disposition des technologies telles que le machine learning ou l’analyse de graphes. Dotées de ces outils, les entreprises sont à même de mieux analyser les données grâce à une meilleure appréhension du contexte généré par un volume exponentiel de données. Loin de submerger les équipes, cette prolifération contribue à améliorer la précision des alertes et à renforcer la sécurité.

Néanmoins, sur certains aspects de la sécurité cloud, le rôle joué par l’automatisation à base de règles demeure efficace. L’édition 2019 du rapport « Cost of a Data Breach » révèle que 49 % des fuites de données sont imputables à des erreurs de configuration et à des fautes humaines. Il va de soi qu’il faut éviter les erreurs de configuration, et cela suppose de s’assurer que les politiques et règles de sécurité sont à jour et appliquées. Ce qui ne signifie pas pour autant que cette démarche est aisée.

Un environnement multi-cloud complexe à gérer

La plupart des équipes de sécurité cloud font face à une hétérogénéité complexe, et doivent gérer des environnements multi-clouds et multi-plateformes. Si les règles sont trop abstraites, ou si une configuration spécifique à une plateforme n’est pas prise en compte, les équipes peuvent passer à côté de vulnérabilités où alors être bombardées d’alertes de sécurité redondantes, souvent très déroutantes.

Pour y remédier, certaines plateformes de sécurité dans le cloud proposent désormais des services spécialisés garantissant l’actualisation constante des règles de configuration essentielles, orientées cloud et plateformes. Par définition, ceux-ci permettent de réduire dans une proportion significative les risques de vulnérabilités auxquels s’expose une entreprise, de la délester des contraintes liées à l’élaboration et à la tenue à jour de règles, et de limiter considérablement le nombre d’alertes de sécurité.

Le machine-learning pour un traitement dynamique de la menace

Là où le machine learning démontre sa valeur, c’est dans le repérage des attaques de sécurité actives. Jusqu’à présent, des règles statiques étaient aussi utilisées à cette fin. À mesure que de nouvelles formes d’attaques sont apparues, les entreprises ont élaboré des règles pour identifier les vecteurs d’attaques ou les schémas comportementaux qui leur sont associés. Néanmoins, par définition, il s’agit depuis toujours d’un jeu risqué pour l’équipe de sécurité, qui tente de rester à jour sur l’identification de tels risques.

Ce concept de règles de sécurité statiques est également pris de vitesse par le dynamisme des plateformes cloud elles-mêmes. Au sein des systèmes cloud d’entreprise, les services clés et composants système peuvent être stoppés, redémarrés, déplacés et sont développés en permanence. Dans Kubernetes, par exemple, un conteneur éphémère peut n’exister qu’une fraction de seconde.

Écrire des règles manuelles, permettant d’isoler des menaces se renouvelant en permanence, au sein d’un système évoluant du tout au tout d’une seconde à l’autre, devient rapidement insoutenable. Là encore, trouver le juste équilibre, entre fermer les yeux sur les vulnérabilités ou inonder l’équipe de sécurité de faux positifs, est impossible. Alors qu’une étude réalisée par IDC en 2017 indique que 37 % des entreprises sondées recevaient plus de 10 000 alertes chaque mois, Dark Reading mentionne une enquête datant de 2020 qui portait à 56 % la proportion de celles recevant au moins 1 000 alertes par jour. 

Concernant ces alertes, l’édition 2022 du rapport « Cloud Security Alert Fatigue Report » révèle que 81 % des professionnels de l’IT estiment à plus de 20 % la proportion d’alertes de sécurité cloud assimilées à des faux positifs, contre 43 % qui la chiffrent à plus de 40 %.

Une détection affinée par l’analyse de milliards de logs

Néanmoins, au sein des plateformes d’analyse de données avancées, le machine learning sert à créer des modèles ultra-précis, extrêmement détaillés, pour détecter tout ce qui relève de la menace inconnue, ré-écrivant ainsi les règles du jeu de la sécurité en entreprise. Les algorithmes de machine learning sont conçus pour se perfectionner automatiquement au cours de leur entraînement, au fur et à mesure qu’ils sont exposés à davantage de données. En résultera des modélisations qui facilitent les prises de décisions et même la réalisation de prévisions, sans être programmées à cette fin.

Ces mêmes plateformes assimilent des logs cloud par milliards, qu’elles analysent pour créer un modèle comportemental dynamique représentant le fonctionnement nominal, tant côté utilisateurs que côté systèmes. Le perfectionnement des algorithmes utilisés est tel que le modèle peut s’adapter rapidement à de nouveaux schémas de comportements reconnus comme légitimes. Des alertes de sécurité ne sont alors générées que si un comportement s’écarte de cette norme. 

Dispensées de gérer et d’actualiser manuellement les règles, les équipes de sécurité peuvent se concentrer sur l’analyse des alertes. Mais surtout, grâce à la modélisation opérée par le machine learning (sous 48 heures, en règle générale), elles auront nettement moins d’alertes à analyser. Au fil du temps, le modèle améliore constamment la précision des alertes. En fait, au lieu d’être submergé, le modèle devient d’autant plus performant qu’il reçoit davantage de données.

Là où les méthodes manuelles auraient du mal à gérer le volume de logs issus de l’environnement cloud, les plateformes d’analyse de données avancées s’appuient sur ces informations grâce à un système très complet de techniques de collecte avec et sans agents.

Ceci permet d’apporter une vision claire en recueillant les données des conteneurs, machines virtuelles, applications, ainsi que les workloads. Non seulement l’exactitude du modèle s’en trouve renforcée, mais la couverture du monitoring est aussi nettement plus complète, contribuant à sécuriser l’intégralité de l’écosystème. Les utilisateurs gagnent en visibilité et bénéficient d’une protection supplémentaire contre les attaques au niveau des systèmes, lesquelles risquent de passer inaperçues avec une simple surveillance des logs cloud.

Un temps d’analyse réduit de 80%

Dans bien des cas, la lassitude à l’égard des alertes peut tenir autant à la nature qu’au volume de celles-ci. Bien trop souvent, l’évaluation d’une alerte de sécurité exige de jongler entre des écrans plusieurs minutes, et parfois plusieurs heures, durant : il faut tour à tour se connecter et se déconnecter de systèmes différents et articuler les informations ainsi rassemblées. L’analyse de graphes offre une technologie inégalée pour révéler les relations entre les éléments dans des ensembles de données largement non structurés.

En mettant à profit l’analyse de graphes sur la totalité des logs sous-jacents, les meilleures plates-formes d’analyse avancée des données sont capables de mettre au jour toutes les informations pertinentes concernant un événement anormal sur un seul et même écran. La fréquence des alertes est considérablement réduite, et les temps d’analyse pour chacune d’elles peuvent être écourtés à hauteur de 80 %.