Attack Discovery : l'IA pour décupler l'efficacité et le temps des analystes sécurité
L'IA générative permet aujourd'hui de passer un nouveau cap dans l'automatisation et l'efficacité de la réponse incident. Elastic, pionnier de l'analyse de données et du moteur de recherche d'entreprise, a développé une solution basée sur des LLM pour aider les analystes sécurité à répondre plus rapidement et efficacement aux menaces potentielles. Explications.
Le choix du LLM à la préférence de l'entreprise
Attack Discovery est disponible en France dans Elastic Security, la suite de SecOps d'Elastic. Le principe est assez simple mais redoutablement efficace : utiliser un LLM pour analyser les alertes, les prioriser et ensuite apporter une réponse fiable, le tout rapidement. Attack Discovery a également le mérite d'être agnostique, il peut être connecté à différents LLM via des connecteurs pré-intégrés. Elastic recommande toutefois d'utiliser la famille Claude d'Anthropic qui dispose d'une taille de contexte idéale pour fonctionner dans Attack Discovery.
Attack Discovery s'attaque à un problème majeur auquel sont confrontés les SOC modernes : la surcharge d'alertes. Au lieu d'obliger les analystes à examiner manuellement des centaines, voire des milliers d'alertes, Attack Discovery va utiliser le LLM pour analyser les menaces potentielles et les classifier par ordre d'importance. Concrètement, le modèle va baser son analyse sur l'ensemble des signaux recueillis dans Elastic Security.
"Le modèle analyse en mode RAG les logs, les alertes, les informations sur les utilisateurs et les machines, les métriques opérationnelles, les signaux faibles détectés par le machine learning, ainsi que les résultats de nos règles de détection de corrélation qui tournent en continu. Notre approche ne se limite pas au matériel de sécurité traditionnel comme les IDS, IPS, pare-feux, antivirus et réseaux. Nous prenons en compte l'ensemble des données de nos clients", détaille Yannick Fhima, head of solutions architecture EMEA chez Elastic. L'expert assure que cette masse de données est indispensable pour maximiser l'accuracy du modèle, notamment pour détecter les attaques dormantes sur plusieurs mois. "Plus on conserve de données, plus l'investigation sera approfondie et l'IA performante", résume-t-il.
Une vue claire et simplifiée pour l'analyste
Une fois son analyse terminée, le modèle va identifier les relations entre les différentes alertes et les regrouper en "découvertes" représentant des attaques potentielles. Il hiérarchise ensuite ces attaques en fonction de leur gravité et de leur impact potentiel sur le SI. Les résultats sont présentés dans une interface intuitive, fournissant aux analystes sécurité une vue claire et concise des attaques les plus importantes. Chaque découverte comprend un titre descriptif, un résumé de la menace potentielle, le nombre d'alertes associées, les tactiques MITRE ATT&CK correspondantes, les entités impliquées (utilisateurs et hôtes) et l'activité suspecte observée.
Enfin, lorsque l'analyse souhaite traiter une attaque potentielle, il peut interroger un assistant IA sous la forme d'un chatbot. Le dialogue avec l'IA permet d'investiguer et de retracer les signaux faibles et peut même aider l'analyste en lui rappelant la procédure unique à suivre pour l'attaque détectée.
"Prenons l'exemple d'un ransomware. L'analyste aurait normalement dû réfléchir pour identifier l'hôte infecté, repérer l'exécutable malveillant, lancer une analyse anti-malware et examiner les DLL suspectes. Certes, il aurait fini par effectuer toutes ces actions, mais la vraie question est : dans quel ordre et à quel moment ? Avec notre système, nous lui fournissons rapidement une trajectoire claire à suivre. C'est ce que nous appelons l'hyperproductivité : la capacité à rendre l'opérateur considérablement plus efficace dans son travail", explique Yannick Fhima. Enfin, l'assistant permettra en fin de mission de gagner du temps sur la rédaction du rapport en synthétisant les informations clés.
Un gain de temps décuplé
À court terme, l'utilisation d'Attack Discovery n'a pas pour vocation de remplacer l'analyste, mais plutôt de renforcer ses capacités. Le gain de temps final est considérable, permettant de détecter et de répondre aux incidents beaucoup plus rapidement. "Dans l'ensemble, nos clients nous rapportent qu'ils sont passés de plusieurs heures d'investigation à seulement quelques minutes. Concrètement, là où ils consacraient auparavant peut-être trois heures, ils n'y passent plus que dix à quinze minutes à épurer les différentes alertes", assure Yannick Fhima. Ce temps précieux pourra être consacré par l'analyste au traitement de nouveaux cas, augmentant ainsi le nombre d'incidents traités quotidiennement. Un véritable cercle vertueux.
Elastic développe déjà de nouveaux connecteurs pour intégrer des modèles on-premise indispensables dans les environnements air gap. Enfin la base contextuelle adressée au modèle va encore s'enrichir. Attack discovery devrait prochainement prendre en considération un entity risk scoring, un système de notation pour les machines et les utilisateurs par approche comportementale.