Saturés, 31,9 % des professionnels de la sécurité déclarent ignorer les alertes de sécurité. Comment identifier les menaces sans enquêter sur chaque anomalie? Joël Mollo, directeur Europe du Sud & Middle East, Skyhigh Networks, livre aux lecteurs de Solutions Numériques son avis.
Les équipes de cybersécurité sont aujourd’hui inondées d’alertes, ce qui a pour conséquence d’entraîner une saturation. Une enquête menée par la Cloud Security Alliance en partenariat avec Skyhigh Networks a récemment trouvé que plus de la moitié des entreprises possédait 6 outils de sécurité ou plus générant des alertes.
Quel impact de la saturation d’alertes sur la sécurité ?
Bien souvent, lorsque l’on se penche sur les plus importantes fuites de données, les alertes signalant l’intrusion se sont bien déclenchées. Cependant, en raison d’un grand nombre d’alertes au même instant, elles ont été ignorées. Dans le cas de la fuite de données dont a été victime Target en 2014 – celle qui a couté à l’entreprise $252 millions et provoqué la démission de son DSI et de son PDG – un des produits de sécurité avait détecté correctement la menace. Pourtant, en raison du grand nombre d’alertes et de faux positifs, l’équipe de sécurité informatique l’a dramatiquement ignoré.
La saturation d’alertes constitue un sérieux problème dans la lutte contre les menaces qui pèsent sur les données. 40,4 % des professionnels de la sécurité déclarent que les alertes qu’ils reçoivent manquent d’informations pertinentes permettant de mener une enquête. En parallèle, 27,7 % des sondés précisent qu’ils sont victimes d’incidents pour lesquels aucune alerte n’est remontée. De façon alarmante, 31,9 % rapportent qu’ils ignorent parfois des alertes en raison du grand nombre de faux positifs qui signalent par erreur des comportements qui se révèlent ne pas être des incidents de sécurité.
Le Cloud sans saturation, est-ce possible ?
Une entreprise génère en moyenne 2,7 milliards d’opérations dans les services cloud par mois (connexions, téléchargements, partages, commentaires), dont 2542, en moyenne sont suspectes.
Une opération anormale est une action qui sort des normes comportementales et qui est donc susceptible d’indiquer une menace. Par exemple, un utilisateur qui se serait connecté à Salesforce depuis Seattle aux USA, et qui 5 minutes après est actif sur son compte OneDrive à Londres est anormal. Cela peut signifier que le compte est compromis. Pourtant, l’action pourrait indiquer aussi que l’utilisateur a utilisé un VPN (réseau privé virtuel). Sur 2 542 opérations anormales, seulement 23,2* sont se révélées être de réelles menaces. Ce ratio de 110/1 montre l’ampleur potentielle des alertes susceptibles d’être des faux positifs.
*Sur 23,2 menaces liées au cloud chaque mois :
- 10,9 menaces sont internes – par exemple un utilisateur qui télécharge des données sensibles de SharePoint Online et les emporte au moment où il rejoint un concurrent.
- 3,3 menaces sont causées par des utilisateurs à privilèges – par exemple un administrateur qui fournit un droit d’accès excessif à un employé.
- 6,2 sont des comptes compromis – par exemple un tiers non autorisé accède au compte Office 365 d’une entreprise, en utilisant des mots de passe volés.
- 2,8 sont des actions d’exfiltration furtive des données – par exemple un malware qui récupère les données d’une application SAP au travers de Twitter – par vague de 140 caractères.
Les approches basées sur la détection des comportements anormaux peuvent aujourd’hui examiner 2,7 milliards d’opérations et observer 2 542 actions anormales. Pourtant, ce chiffre reste trop élevé pour que les équipes de sécurité puissent enquêter sur chacune de ces alertes. Le défi consiste donc à savoir comment identifier les menaces sans enquêter sur chaque anomalie.
Bien qu’il puisse être difficile pour une personne de différencier une fausse alerte d’une menace réelle, les avancées technologiques autour de la science des données permettent à des logiciels d’accomplir cette tâche avec beaucoup de précision. Des solutions technologiques basées sur l’analyse du comportement (UBA) peuvent détecter des modèles de comportement qui s’éloignent de la norme, même de manière subtile et qui seraient difficiles à décrire dans une règle capable de couvrir toutes les activités des utilisateurs. En réduisant les événements anormaux à un petit nombre de menaces probables, ces modèles de machine learning permettent aux équipes de sécurité informatique de se concentrer sur les menaces réelles.