Comportement des cyber attaquants : La petite faiblesse qui les perdra ?

[EXCLUSIF] Revenir aux fondamentaux de la sécurité des systèmes d’information, c’est se rappeler que son but ultime est avant tout d’enrayer d’éventuelles attaques et donc de protéger le patrimoine numérique visé. Détecter les menaces tant internes qu’externes et les endiguer constituent un challenge depuis toujours, mais de plus en plus prégnant dans les organisations, vu l’évolution grandissante des menaces.

Christophe Jolly, Directeur France Vectra Networks

Christophe Jolly, Directeur France Vectra Networks

C’est la raison pour laquelle, depuis environ 5 ans, en aval des équipements de sécurité et de filtrage (pare feux, proxies, IPS, etc.) se structure la supervision de la sécurité. Celle-ci s’alimente tant en technologies (SIEM, etc.) qu’en experts analystes capables d’interagir avec elles, dans des SOC et autres task forces dédiées à la gestion de la menace. Les services les plus poussés vont jusqu’à l’analyse post-mortem des cyberattaques (Forensics). Il faut dire que si la détection n’est pas une préoccupation nouvelle, la masse de données à analyser a quant à elle littéralement explosé.

L’automatisation au service de l’alerte

La 1ère révolution de l’analyse de la menace est apparue avec l’automatisation des tâches, d’abord née logiquement des évolutions technologiques et de la puissance des machines, ensuite de façon plus forcée compte tenu de la masse de données à analyser. Difficile de pouvoir prétendre tout analyser, aussi performante soit l’équipe du SOC.

C’est dans ces conditions que les offreurs ont développé des machines capables de repérer ce qui est dicté comme étant une menace selon des règles et des signatures et d’y appliquer des analyses jusqu’alors dédiées aux analystes. La machine ne fait que remplacer par mimétisme des tâches humaines. C’est ce qu’on appelle de l’efficience…

Avec cette automatisation de tâches manuelles, ce sont désormais le filtrage des alertes, ou encore la journalisation des logs auxquels s’adonne la machine pour faciliter la réaction, si tant est que ces données puissent être lues et analysées de façon homogène par les équipes. C’est en effet justement au travers du focus que l’organisation peut mettre au service du partage d’informations, et leur agrégation que les solutions deviennent de plus en plus intelligentes.

Trop d’alertes tue l’alerte

Or, rares sont les organisations qui bénéficient d’une gestion de la menace cohérente. En effet, si la technologie a permis de déterminer des règles pour repérer d’éventuelles menaces, l’hétérogénéité des technologies et le morcellement des équipes a tendance à créer un goulet d’étranglement. En effet, le bruit est constant. Les technologies remontent beaucoup de données, trop d’alertes par rapport à ce que les équipes ne peuvent en supporter. On ne le répète jamais assez. Si l’automatisation permet de capter l’information, faut-il encore que les analystes derrière les analysent, les gèrent, les enrayent.

 L’analyse comportementale, dernière pierre à l’édifice

guide cyber sécurité

Entre les équipements amont de la protection et la réponse à incident incluant le forensic, des retours d’expérience montrent que les services de sécurité peuvent être aveugles et ce, pendant longtemps. En effet, si l’attaque n’est pas détectée dès son démarrage, c’est une moyenne de 99 jours qui peut s’égrener avant que ne soit repérée la présence hostile. Quand des attaques ciblées de type APT sont à fortiori discrètes, cela pose question…

C’est pourquoi les équipes de sécurité se concentrent de plus en plus sur le trafic réseau. C’est dans cette couche précise de l’informatique que se distingue des comportements auxquels les cyber attaquants ne peuvent déroger, quand ils espionnent, propagent des attaques ou volent des données. Cette analyse du comportement repose sur un sous-ensemble de l’intelligence artificielle qu’on appelle du « machine learning ».

Le « machine learning » c’est la capacité d’une machine à apprendre par elle-même. Faisons une analogie. En observant un individu sur un temps significatif, il est possible d’en déterminer les habitudes car il va répéter des situations identiques sur un temps donné. Pour une machine, la logique est la même. Dans la masse d’informations qui lui parvient, la machine grâce à des algorithmes puissants va reconnaître des situations qui se répètent. Elle va dans le réseau repérer des gammes de comportements adoptés par les cybercriminels avant l’attaque et pendant l’attaque. La force réside dans le fait que la machine n’est pas alimentée d’inputs qu’elle doit ensuite reconnaître, mais qu’elle identifie ces comportements par elle-même. En reconstituant elle-même la chaîne comportementale, elle ne préjuge en rien de ce qui est « normal » et « anormal ». Elle repère un comportement qui mène à une attaque, et qui peut donc révéler les signaux faibles d’une attaque que ce comportement paraisse ou non légitime. C’est ainsi de nombreux cas de fausses alertes ou de faux positifs qui sont alors évités. Ainsi, la machine parvient grâce à cet auto-apprentissage à hiérarchiser l’information, l’évaluer et ainsi lui assigner un traitement adéquat.

A titre d’illustration, on peut ainsi faire la différence entre une attaque réelle ou le déroulement d’un test d’intrusion. Le fait que soit menée un balayage de port sur le serveur Active Directory pourrait laisser penser qu’un attaquant cherche à entrer dans le système d’information. Le machine learning, en repérant des comportements, est en capacité d’isoler l’ensemble de l’opération et reconnaître plutôt la procédure d’un test d’intrusion, l’identifier par sa fréquence, son ordonnancement ou encore par les cibles choisies. La machine émet une statistique de probabilité de son hypothèse et c’est en dernier ressort à l’analyste de trancher. La machine peut en attendant prendre du coup toutes les précautions d’usage pour isoler l’activité suspecte.

Une transformation métier, vers des ressources humaines valorisées

Entre pénurie et turn-over, la course aux analystes est une réalité tant dans les organisations que chez les prestataires qui les staffent. Ce n’est donc pas une surprise que toute forme de compensation de tâches humaines par la machine soit considérée comme salvatrice, alors même que tous les débats sur l’IA suscitent plutôt de la crainte.

Néanmoins, l’ère du tout automatisé pour stopper les attaques n’est pas encore pour tout de suite. Est-elle pour autant souhaitable ? Ce n’est pas sûr. Ce qui est en revanche une certitude c’est que l’intelligence artificielle associée à l’intelligence humaine est un sujet qui prend tout son sens à l’heure où le numérique s’innerve dans nos vies. En effet, si l’intelligence artificielle peut automatiser des tâches complexes et chronophages, elle permet ainsi à l’intelligence humaine d’œuvrer là où elle est la meilleure et la seule capable d’apporter des solutions. L’Homme doit en effet rester au cœur de l’intelligence de la gestion de la menace, pour œuvrer au partage effectif d’informations, à la coéducation des équipes, et à leur management. Si l’IA fait parfois craindre la perte d’emplois, elle devrait être – en cybersécurité – une occasion de révéler le potentiel de chacun et donc un accélérateur sécuritaire.