5 façons d’utiliser l’IA pour améliorer la sécurité : Détection des menaces et renseignement
Nous avons récemment terminé notre série sur la façon dont les acteurs de la menace utilisent les technologies d’intelligence artificielle (IA) pour améliorer et accélérer leurs attaques. Ce billet est le premier d’une série d’articles sur la manière dont l’IA est utilisée dans le domaine de la cybersécurité. Nous commencerons cette série par la détection des menaces et le renseignement.
La détection des menaces et les renseignements sur les menaces fonctionnent en tandem, mais leurs rôles sont bien distincts. Commençons par examiner leurs caractéristiques et leur fonctionnement.
Threat Detection
La détection des menaces est un processus automatisé qui surveille en permanence les réseaux, les applications et d’autres systèmes de l’entreprise pour détecter les activités suspectes ou inhabituelles qui apparaissent comme des menaces. Voici quelques exemples de menaces et d’indicateurs ciblés par la détection des menaces :
Menace : accès non autorisé
Indicateurs :
Schémas de connexion inhabituels ou tentatives de connexion à partir d’un endroit inhabituel. Ces schémas peuvent être interprétés comme du bourrage d’identifiant (credential stuffing), de la pulvérisation de mots de passe ou de toute autre attaque basée sur les identifiants.
Tentatives d’élévation des privilèges, d’accès à des ressources restreintes ou de déplacement latéral dans un réseau pour accéder à des systèmes et à des serveurs. Les intrus du système utilisent souvent des techniques d’exploitation des ressources locales ou LoTL (Living off the land) à l’aide d’outils et utilitaires légitimes pour effectuer ces manœuvres.
Menace : malware, ransomware et autres logiciels malveillants
Indicateurs :
Exécution de logiciels inconnus ou non approuvés, ou changements soudains dans les fichiers réseau. Les modifications en masse de l’intégrité des fichiers pouvant être causés par une défaillance du système ou une cyberattaque, les systèmes de détection des menaces sont susceptibles d’alerter sur ce type d’activité. Les logiciels inconnus ou non approuvés présentent un niveau de risque inconnu, car il peut aussi bien s’agir d’un binaire malveillant que d’un lecteur multimédia gratuit. Le système de détection des menaces peut vous aider à comprendre ce qui se passe dans votre réseau de façon à adapter les stratégies de sécurité ou les configurations en fonction des besoins.
Changements soudains dans la configuration de sécurité des points de terminaison du réseau, tels que la désactivation des firewalls et la suppression de la protection antivirus. De nombreuses variantes de ransomware comprennent des mécanismes qui permettent de désactiver la sécurité du système et d’empêcher la suppression du ransomware.
Menace : comportement suspect du réseau associé à de nombreux types de menaces
Indicateurs :
Le balayage et la cartographie non autorisés du réseau sont souvent les précurseurs d’une attaque. Il s’agit d’une reconnaissance de réseau, qui indique généralement un effort pour trouver des ports ouverts, des vulnérabilités ou d’autres points d’entrée potentiels. Les systèmes de détection des menaces signalent généralement toute analyse complète du réseau, qu’elle soit interne ou à la périphérie du réseau depuis Internet.
Des transferts de données importants ou des pics inhabituels dans le trafic réseau indiquent généralement une exfiltration ou un vol de données. Des pics de trafic et d’utilisation des ressources peuvent également indiquer une activité de botnet, telle que des attaques de cryptominage ou de déni de service.
Les capacités de détection des menaces sont incluses dans les systèmes de détection et de réponse des points de terminaison (EDR), les systèmes de détection d’intrusion (IDS) et les technologies similaires. L’utilisation efficace de ces systèmes aidera les équipes informatiques à identifier et à atténuer les incidents de sécurité dès les premiers stades.
Suivi des menaces
Les systèmes de renseignement sur les menaces recueillent et analysent des informations sur les menaces et les restituent dans un format accessible et exploitable. Ces informations peuvent être la propriété d’un fournisseur ou être partagées dans un format ouvert avec l’ensemble des systèmes et des parties prenantes. Le renseignement sur les menaces aide à comprendre le contexte des menaces et à identifier les menaces émergentes, afin d’orienter les budgets de sécurité, les décisions d’achat, les programmes de recrutement, les plans de continuité des activités et d’autres stratégies affectées par les cybermenaces.
Les systèmes de renseignement recueillent des données de plusieurs sources :
Le renseignement open source (OSINT) fait référence à des informations accessibles au public. Les sources peuvent être des plateformes de réseaux sociaux, des organes d’information, des archives publiques et des sites Web gouvernementaux, des forums, des blogs et tout autre site défini comme open source.
Surveillance du Dark Web : le Dark Web est une partie de l’Internet à laquelle on ne peut accéder sans un logiciel spécifique comme The Onion Router pour accéder à des sites Web cachés. Le Dark Web est particulièrement connu pour son anonymat et sa confidentialité, et il héberge de nombreux sites Web criminels tels que les sites de fuite de ransomwares et les forums criminels.
Renseignement technique (TECHINT) : ce type de renseignement se concentre sur des aspects techniques comme les indicateurs de compromission (IoC), les adresses IP malveillantes et les tactiques, techniques et procédures (TTP). Les renseignements techniques proviennent de l’analyse des malwares, des bacs à sable, des flux et rapports sur les menaces et d’autres sources de données techniques. Les IDS, IPS et autres systèmes de détection des menaces fournissent parfois ce type de renseignement sur les menaces.
Renseignement humain (HUMINT) : les sources humaines fournissent un contexte et des informations qui pourraient ne pas être accessibles par le biais de sources techniques. Ces renseignements peuvent provenir d’informateurs, de la surveillance, d’opérations d’infiltration des force de police (« agents sous couverture ») et de la collaboration avec d’autres sources de renseignement. Des initiatives internationales comme l’opération Cronos sont des exemples de partage de renseignements humains entre les forces de l’ordre de différents pays.
Partage de signaux : il s’agit de l’échange d’informations sur les menaces entre les fournisseurs de services de sécurité, les agences gouvernementales et les autres acteurs du secteur. Le « signal » peut être n’importe quel renseignement humain ou technique. Les rapports de réponse aux incidents et les publications des chercheurs et des analystes sont partagés avec les données de télémétrie et de vulnérabilité. Le partage de signaux augmente considérablement la profondeur, la précision et la rapidité de diffusion du renseignement sur les menaces.
Le renseignement sur les menaces consiste à collecter des données brutes et à les transformer en informations exploitables destinées à nous protéger. L’IA a rendu ce processus bien plus puissant.
Le rôle de l’IA dans la détection des menaces et le renseignement
Les informations ci-dessus montrent que la détection des menaces et le renseignement se chevauchent et s’alimentent mutuellement, mais qu’il s’agit d’entités distinctes dotées de fonctions distinctes. Notez qu’aucun des deux ne traite de la réponse aux incidents, qui est une fonction distincte que nous étudierons plus loin dans cette série. De nombreuses solutions de sécurité intègrent toutes ces fonctionnalités avec un tableau de bord de gestion centralisé qui leur donne l’apparence d’un produit de sécurité unique. C’est ainsi que fonctionne Barracuda Cloud Control, et c’est l’une des raisons pour lesquelles ces technologies avancées sont accessibles aux entreprises de toutes tailles et de tous budgets. Leurs fonctions d’automatisation et d’orchestration étendues exécutées en arrière-plan facilitent leur utilisation et le respect des budgets. Le fournisseur peut ainsi faire évoluer ces opérations de manière rentable et répercuter les économies réalisées sur le client.
Voyons maintenant dans quels domaines l’IA déploie toute sa puissance. Vous vous souvenez peut-être qu’il existe plusieurs sous-ensembles de l’intelligence artificielle, notamment le machine learning et l’IA générative. Voici comment le ML et l’IA générative interviennent dans les fonctions que nous avons identifiées lors de la détection des menaces :
menace |
Apprentissage machine |
IA générative |
Accès non autorisé |
Détection des anomalies : reconnaît les dérives par rapport au comportement de connexion normal. Analyse comportementale : surveille le comportement de l’utilisateur et du système afin de détecter les activités inhabituelles.
|
Simulation et test : génère des scénarios d’attaque synthétiques pour tester le système de sécurité. Génération de scénarios : crée des scénarios d’attaque hypothétiques faisant appel aux techniques LotL. |
Malwares, ransomwares et autres logiciels malveillants |
Surveillance de l’intégrité des fichiers : suivi des modifications de l’intégrité des fichiers et de l’exécution des logiciels afin de détecter les anomalies. Surveillance des configurations : surveille en permanence les configurations de sécurité pour détecter les changements soudains indiquant un ransomware.
|
Simulation de malwares : simule l’exécution de malwares et de logiciels non approuvés pour entraîner les systèmes. Simulation d’attaques par ransomware : simule des attaques par ransomware pour entraîner les systèmes à les reconnaître. |
Comportement suspect du réseau associé à de nombreux types de menaces |
Analyse du trafic réseau : analyse le trafic réseau afin de détecter les activités de balayage et de mappage non autorisées. Analyse du trafic : surveille le trafic réseau afin d’identifier les pics inhabituels indiquant des activités malveillantes. |
Simulation de reconnaissance : simule le balayage et la cartographie du réseau pour tester les capacités de détection. Génération de données synthétiques : crée des scénarios de transferts de données à grande échelle pour tester les systèmes de détection. |
Maintenant, procédons de la même manière pour la collecte et l’analyse de renseignements :
Méthode |
Apprentissage machine |
IA générative |
Renseignement open source (OSINT) |
Agrégation et filtrage des données : traitement de grandes quantités de données pour identifier les informations pertinentes sur les menaces. Analyse des sentiments : analyse des sentiments sur les réseaux sociaux et les forums. Reconnaissance de formes : identification de schémas et d’anomalies dans de grands ensembles de données. |
Génération de contenu : simulation de scénarios de menaces potentielles. Augmentation des données : génération de données synthétiques pour l’entraînement. Résumés automatisés : création de résumés concis de rapports et d’articles. |
Surveillance du Dark Web |
Détection d’anomalies : identification d’activités ou de tendances inhabituelles. Reconnaissance d’entités : extraction et catégorisation d’entités à partir de forums et de places de marché du Dark Web. Analyse comportementale : suivi et analyse du comportement des acteurs de la menace. |
Émulation des menaces : simulation du comportement des acteurs de la menace. Synthèse de contenu : production de rapports et d’alertes détaillés. Traduction et interprétation : traduction et contextualisation des informations issues du Dark Web. |
Renseignement technique (TECHINT) |
Analyse des malwares : classification et analyse des échantillons de malwares. Détection des menaces : amélioration de la détection des menaces et de la réponse en temps réel. Analyse prédictive : prédiction des menaces émergentes. |
Génération automatisée de rapports : création de rapports techniques détaillés. Simulation d’attaques : modélisation et simulation de cyberattaques. Développement d’outils : aide au développement de nouveaux outils d’analyse. |
Renseignement humain (HUMINT) |
Corrélation des données : corrélation des données provenant de sources humaines avec d’autres sources de renseignement. Reconnaissance de formes : identification de schémas dans les données fournies par l’homme. Informations prédictives : utilisation des données historiques HUMINT pour prédire les menaces futures. |
Génération de scénarios : création de scénarios de menaces potentielles. Traitement du langage : interprétation et synthèse des rapports de renseignement. Assistants interactifs : assistance aux analystes dans le traitement et l’analyse. |
Partage de signaux |
Intégration des données : intégration et mise en corrélation des données sur les menaces provenant de sources multiples. Analyse en temps réel : traitement des signaux partagés en temps réel. Évaluation des risques : évaluation des niveaux de risque des signaux partagés. |
Génération de rapports : automatisation de la création de rapports d’incidents et d’évaluations. Plateformes collaboratives : amélioration des plateformes collaboratives avec des résumés en temps réel. Amélioration de la communication : amélioration des échanges grâce à des informations exploitables. |
Voyons ensuite comment tout cela fonctionne ensemble.
Comment la détection des menaces et le renseignement basés sur l’IA protègent votre entreprise
Il y a quatre grands mécanismes à l’œuvre dans vos systèmes de détection et de renseignement sur les menaces :
Analyse prédictive : ces opérations tentent de prédire les menaces futures en analysant les données historiques sur les menaces. Elles s’appuient sur le ML pour apprendre à partir de grands ensembles de données et identifier des schémas complexes. L’IA générative contribue à l’analyse prédictive en utilisant des données historiques et synthétiques (fausses) pour simuler de futurs scénarios d’attaque. Elle permet ainsi de prédire les futurs vecteurs de menace et d’anticiper les tendances des attaques.
Analyse comportementale : ces opérations s’apparentent à l’analyse prédictive mais se concentrent sur le comportement de l’utilisateur. Un comportement inhabituel de l’utilisateur peut en effet révéler des menaces potentielles que les protocoles de sécurité standard ne détectent pas. Le machine learning automatise l’analyse des données et identifie les anomalies susceptibles d’indiquer une menace pour la sécurité. Ces anomalies peuvent être très subtiles et facilement ignorées lors des inspections manuelles. L’IA générative modélise les comportements normaux et anormaux afin d’améliorer l’analyse et de mieux distinguer les activités inoffensives des tentatives frauduleuses. L’analyse comportementale aide les systèmes de détection à identifier les menaces internes et la compromission de comptes.
Détection des anomalies : ce composant surveille le réseau à la recherche de schémas ou de comportements inhabituels qui s’écartent de la norme. Le ML améliore le système en apprenant à partir de données connues et en s’adaptant à de nouveaux types d’anomalies au fil du temps. L’IA générative crée des anomalies synthétiques pour améliorer les modèles de détection et rendre le système plus résistant aux nouvelles menaces. C’est ici que les attaques zero-day et les schémas de connexion inhabituels peuvent être détectés.
La reconnaissance de formes : Comme vous vous en doutez, cette technique permet de déceler des régularités dans des ensembles de données structurés. Elle facilite donc la classification et la détection des types de menaces connus. L’apprentissage machine permet d’automatiser ce processus et améliore la précision des résultats obtenus. Quant à l’IA générative, elle peut servir à élaborer des attaques simulées selon de nouveaux schémas, afin d’améliorer le processus d’apprentissage. L’objectif visé peut être de classifier les logiciels malveillants par type, de déceler les relations qui existent entre les pirates actifs ou de reconnaître les campagnes d’hameçonnage ciblé.
Un système de sécurité qui s’appuie sur la détection automatisée des menaces et le renseignement peut améliorer considérablement la sécurité de votre entreprise. Le renseignement rend le système plus intelligent. La détection des menaces recherche en permanence les menaces actuelles ou potentielles, et l’automatisation assure la cohérence des processus de sécurité à l’échelle de l’entreprise. Malheureusement, les cybercriminels se servent déjà de l’IA contre vous. Vous devez donc utiliser des systèmes basés sur l’IA pour vous défendre.
Vous pouvez compter sur Barracuda
Barracuda propose une plateforme complète de cybersécurité qui utilise la sécurité basée sur l’IA pour se protéger de tous les principaux vecteurs d’attaque présents dans les menaces complexes d’aujourd’hui. Consultez notre site www.barracuda.com pour en savoir plus sur nos produits primés de sécurité et de protection des données.
Saviez-vous que...
Barracuda a publié un nouvel e-book intitulé Sécuriser demain : Guide du RSSI sur le rôle de l’IA dans la cybersécurité. Ce nouvel e-book explore les risques de sécurité et présente les vulnérabilités que les cybercriminels exploitent avec l’aide de l’IA pour faire évoluer leurs attaques et améliorer leurs taux de réussite. Demandez dès maintenant votre exemplaire gratuit de cet e-book et découvrez les menaces, les données, les analyses et les solutions les plus récentes.
