Accélérer la détection des failles... via l'intelligence artificielle
Comment facilement distinguer la situation critique de la nuisance ? Découvrez une méthodologie pour identifier ce qui est anormal, et ainsi aider les équipes de sécurité à se concentrer sur les activités suspectes.
En moyenne, la détection d’une attaque prenait 99 jours (source Mandiant). Dans la plupart des attaques récentes, les hackers ont pu agir librement au cœur des systèmes pendant des semaines et parfois mêmes des mois, leur donnant ainsi amplement le temps d’identifier et d’exfiltrer des informations sensibles et précieuses, telles que des propriétés intellectuelles, numéros de cartes de crédit et de sécurité sociale. Alors que vos systèmes de journaux d’activité regorgent d’informations indiquant quand et où des actes de malveillance sont susceptibles de se produire, le volume considérable et la vélocité de ces données rendent leur collecte et leur analyse extrêmement difficiles. Comment en extraire des informations exploitables pour facilement distinguer la situation critique de la nuisance ?
Echapper à la paralysie des alertesGérer la fréquence et la complexité de nouvelles menaces implique de changer les approches et méthodes des équipes de sécurité. Si vous ne disposez que d’une seule source de logs à analyser, de nombreux experts en sécurité recommandent de commencer par les logs DNS (Domain Name System), parce qu’ils contiennent énormément d’informations sur ce que les utilisateurs et les systèmes consultent sur internet. Ces experts préconisent ensuite de concevoir une plateforme de données capable de contenir les logs DNS d’une semaine ou d’un mois, et de mettre en place des règles de surveillance et des mécanismes de détection de base, afin d’identifier en temps réel les activités susceptibles d’être liées à des attaques et à des violations de données.
Le diable est dans les détailsCela nécessite un changement de tactique. Les recommandations ci-dessous facilitent un examen quotidien de vos logs DNS :
Comparer chaque requête de nom de domaine au million de domaines les plus importants en termes de sous-réseaux, tels que ceux de la Liste Majectic. Dans la plupart des organisations, il est anormal que les utilisateurs consultent des sites inhabituels, si bien qu’une activité associée à des domaines qui ne sont PAS dans cette liste implique immédiatement une activité qui mériterait une vérification.
Vérifier l’ancienneté de chaque requête de domaine en utilisant des ressources telles que Domaintools pour vérifier si certaines sont très récentes (créées dans les quelques jours ou semaines auparavant, par exemple). Dans la plupart des entreprises, il est anormal que des utilisateurs consultent des sites récemment créés, et ces jeunes domaines peuvent être associés à des sites de phishing temporaires, un ransomware ou des réseaux de machines zombies (botnets), si bien que les postes accédant à ces sites doivent être examinés.
Suivre le nombre de requêtes DNS générées quotidiennement par votre infrastructure et l’entropie (variation) des sous-domaines de ces requêtes. Si le nombre ou l’entropie des requêtes est anormal pour un jour donné ou pour un poste donné, cela peut correspondre à un abus ou une exfiltration de données exploitant le protocole DNS.
Etudier plus en détail le protocole DNS, utiliser sa plateforme de données pour surveiller le nombre de requêtes de sous-domaines distincts pour chaque domaine présent dans vos logs DNS. Il se peut que vous deviez filtrer des sites populaires, tels que AWS ou Dropbox. Après avoir effectué ceci, tous les sites comportant un nombre anormalement important de sous-domaines distincts peuvent être une indication d’exfiltration de données, par une technique parfois appelée « tunnelisation DNS », qui consiste à encoder les données et les inclure dans le champ des sous-domaines des requêtes DNS.
Une détection d’anomalie automatisée plus rapide et plus performante
Accélérer et automatiser les analyses de logs DNS décrites ci-dessus par l’ajout d’une couche analytique au-dessus de votre SIEM (System Information Management System) améliore considérablement les techniques de détection des menaces et des failles. C’est là que le machine learning intervient avec un arsenal « d’assistants algorithmiques » pour automatiser l’analyse des données de logs pertinentes en termes de sécurité en cherchant les anomalies et comportements potentiellement douteux, mais sous la direction d’experts en sécurité.
Par exemple, la détection de la tunnelisation DNS décrite ci-dessus peut être automatisée avec des techniques basées sur le machine learning. N’étant en général pas bloqué par les pare-feu, un trafic DNS est un canal idéal pour l’envoi de communication non autorisée ou malveillante en « creusant » un tunnel sous les dispositifs de sécurité d’une organisation pour exfiltrer des données précieuses. Dans ce cas, le moteur de machine learning de l’outil d’analyse de sécurité est chargé de créer et d’entretenir un référentiel d’un nombre normal de sous-domaines distincts par domaine requêté. Une fois qu’il a appris le référentiel, il analyse automatiquement les données de logs DNS reçues et repère les comportements anormaux. Autrement dit, l’analyste en sécurité n’a pas besoin de lancer des requêtes, de créer des listes de « top 10 » et d’essayer de se souvenir si le nombre de sous-domaines en haut de la liste est normal pour ce site. Il peut ainsi être alerté et se focaliser sur les seules anomalies détectées. Encore mieux, les modèles du référentiel créés par le moteur de machine learning n’ont pas besoin de garder les données anciennes dans la plateforme. Même si celle-ci ne conserve que les données de logs DNS d’une journée, le moteur de machine learning mémorise l’historique des données, si bien que toutes les observations quotidiennes sont comparées à l’historique d’apprentissage.
Une activité anormale n’est pas forcément malveillante, mais identifier ce qui est anormal aide les équipes de sécurité à se concentrer sur les activités suspectes à examiner en profondeur.
Les exemples ci-dessus ne couvrent qu’une petite partie du paysage des menaces actuelles et de la surface d’attaque d’une entreprise, et ne visent pas à être un remède miracle pour sécuriser une entreprise. Leur approche pragmatique associée à des outils analytiques de sécurité modernes permet aux entreprises de limiter considérablement leur vulnérabilité, d’améliorer leur couverture de sécurité globale et finalement d’accélérer la fermeture des fenêtres de détection de brèche.