Riad Nassou, directeur régional des ventes chez ExtraHop, tente ici de convaincre les responsables de la sécurité qu’au lieu de faire la chasse aux faux positifs, ou fausses détections, ils devraient s’appuyer sur le Machine Learning et l’analyse comportementale.
Le phénomène connu sous le nom d’Alert fatigue ou d’Alarm fatigue au sein des équipes de sécurité est un problème réel. Selon une récente étude du SANS Institute, elle constitue l’un des principaux obstacles à la rétention du personnel compétent. De nombreux outils, dont les systèmes SIEM (gestion des incidents et événements de sécurité) et IDS (détection d’intrusion) sont réputés pour générer du « bruit », incluant de multiples faux positifs que les analystes de sécurité doivent traiter. Face à la prédominance de ces faux positifs, le risque est que les véritables incidents ne soient pas détectés ou traités faute de temps et de ressources.
Certes, les faux positifs posent bien un problème, mettant sous tension les équipes de sécurité déjà restreintes. Toutefois, ils sont plutôt un symptôme du problème que sa cause. Quelle est donc l’origine réelle de ce problème lié au nombre d’alertes et de faux positifs ? Et comment peut-on le corriger ?
Une complexité croissante
Il est reconnu que les environnements informatiques deviennent chaque jour plus complexes. Si les environnements multicloud ou cloud hybride permettent de gagner en agilité, ils rendent plus difficile une vision unifiée de l’activité au sein de ses environnements. Le télétravail introduit de nouveaux équipements qui peuvent être mal gérés, voire pas du tout. Du fait de l’arrivée de la 5G et des progrès des appareils connectés, des systèmes de plus en plus nombreux font appel au réseau pour se connecter aux ressources, et leur gestion n’est pas toujours possible par des outils traditionnels.
Tous ces systèmes interconnectés contribuent d’autant plus au « bruit ». Le challenge est rendu d’autant plus complexe. En effet, les outils de sécurité classiques ne facilitent pas la corrélation des comportements entre ces environnements et types d’équipements hétérogènes. Si tant est que ces données soient disponibles et accessibles.
Des données incomplètes
En matière de sécurité, il est essentiel de disposer rapidement de données fiables. Les analystes ont besoin d’informations en temps réel sur ce qui se passe dans leur environnement mais ils peinent souvent à en obtenir une vue exhaustive. La cause réside dans le fait que les données sur lesquelles reposent traditionnellement de nombreux outils, notamment SIEM, ne sont pas exhaustives.
Les outils de SIEM sont essentiellement des agrégateurs de logs en provenance de différents composants de l’infrastructure sur la base desquels ils déclenchent des alertes, généralement sans contexte, que les équipes de sécurité doivent s’efforcer de trier et hiérarchiser par priorité. Dans la réalité, les journaux de logs sont souvent d’ailleurs incomplets. En effet, la majorité des entreprises n’activent pas les logs sur l’ensemble des composants et périphériques de l’infrastructure. Des schémas courants d’attaque exploitent par exemple l’infrastructure DNS, dont l’activité est pratiquement impossible à consigner dans sa globalité dans un journal de logs, ce qui crée d’importants angles morts. Il peut être parfois difficile d’intégrer de nouveaux flux de logs aux produits SIEM voire même d’analyser l’activité de certains composants facilement.
En conséquence, les alertes émises par la plupart des outils de SIEM ne reposent que sur une vue partielle de l’activité, rendant l’identification des faux positifs difficile. Les équipes de sécurité doivent trier et prioriser des milliers d’alertes, certaines parfois même ignorées. Le problème ne se pose pas qu’avec l’infrastructure DNS. Le problème touche aussi les autres composants de sécurité comme les firewalls et les solutions antivirus qui ne journalisent pas toute leur activité au niveau du SIEM, ce qui pose des problèmes similaires en matière de visibilité.
Une veille statique
Ce n’est cependant pas seulement le fait que les données soient incomplètes qui est à l’origine des faux positifs. Il faut également prendre en considération la nature statique de nombreux outils de sécurité courants. La configuration et l’utilisation des produits SIEM requièrent traditionnellement beaucoup de travail, tandis que les journaux sur lesquels ils s’appuient doivent eux aussi être configurés manuellement et ne s’adaptent pas automatiquement.
Tout comme les SIEM, les IDS et les firewalls nécessitent une configuration manuelle pour détecter les activités malveillantes en s’appuyant sur des règles et des signatures. Si cela est utile pour la détection des comportements malveillants connus, cela peut également produire des alertes répétitives et insistantes sur des comportements normaux dans beaucoup d’environnements, tout en laissant passer des menaces ou comportements inconnus.
Les solutions de protection du poste de travail et les antivirus n’offrent qu’une visibilité pour les équipements supportés par lesdites solutions permettant d’adresser la majorité des systèmes. présents dans les datacenters mais rarement les équipements IoT et OT dont le nombre explose. La gestion de ces composants, même si elle peut parfois être supportée, passe par un déploiement manuel de l’agent adéquat.
Répondre aux alertes qui comptent
Il est vrai que certaines solutions dans le passé telles que les IDS ont donné mauvaise réputation à la sécurité basée sur les données extraites du réseau, mais ce dernier est pourtant extrêmement précieux en matière de détection et de réponse.
Les avancées du Machine Learning (ML) et de l’analyse comportementale ouvrent la voie non seulement à l’analyse du trafic réseau mais aussi à une détection très fiable qui permet aux équipes de se concentrer sur les menaces les plus importantes au lieu de chasser les faux positifs.
En analysant le trafic réseau et en étudiant la complexité d’un comportement anormal, sa probabilité et sa fréquence, il est possible d’attribuer un score de risque à chaque alerte.
Le ML et la détection basée sur l’analyse comportementale présentent également l’avantage de pouvoir identifier des vecteurs d’attaque inconnus car elles ne s’appuient pas sur des signatures, à la différence des outils comme l’IDS. Elles sont capables de repérer des indicateurs de compromission (IOC) qui échappaient jusqu’ici aux radars, en faisant appel au ML pour établir des profils de comportements prédictifs.
La détection comportementale fournit aux équipes sécurité des informations plus pertinentes sur les incidents, ainsi que des éléments tangibles lors des investigations pour cerner et comprendre la portée d’un incident.
Le réseau offre en outre un avantage majeur comparé à d’autres sources de données. Contrairement aux journaux de logs qui peuvent être effacés, ou aux agents qui peuvent être repérés et désactivés par des acteurs malveillants, le réseau est passif et « out-of-band» (hors bande).
Confrontées à des menaces plus avancées et à des environnements plus complexes, les équipes de sécurité doivent améliorer la visibilité sur leur environnement, enrichir le contexte des alertes, et avoir la capacité de répondre rapidement aux menaces réelles.
L’allègement efficace de la file d’attente grâce à une analyse en temps réel facilite la tâche des analystes en sécurité opérationnelle (SOC) et, au bout du compte, renforce la sécurité de l’entreprise. La détection comportementale est l’antidote à la lassitude à l’égard des alertes des équipes de sécurité.