Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Apprentissage automatique : la pierre angulaire de l'analyse du trafic réseau

By:
Eric Ogren
April 25, 2019

Imaginez un outil de sécurité qui pense exactement comme vous lui apprenez à penser, qui agit au moment opportun et selon les modalités que vous lui avez enseignées. Plus besoin d'adapter vos habitudes de travail à des règles génériques définies par quelqu'un d'autre. Plus besoin de vous demander comment pallier les failles de sécurité qui ne sont pas couvertes par ces règles.

Pierre angulaire de l'analyse du trafic réseau, l'apprentissage automatique est une technologie qui agit à votre place pour accroître votre visibilité sur l'infrastructure, optimiser la détection des menaces actives et simplifier la reprise des activités en cas d'incident.

Nous sommes tellement conditionnés par la perspective déterministe des règles que nous en oublions souvent les limites. On pourrait comparer les règles à une succession d'énoncés « si... alors... sinon » créés par un analyste pour suivre un chemin connu. Toute modification de ces règles, due par exemple à l'inclusion de nouvelles données opérationnelles ou à la codification d'une nouvelle logique de détection des menaces, entraîne une charge administrative indésirable.

Pire encore, en raison de la discordance des règles codées de manière irréversible, de l'évolution des processus informatiques et des nouvelles menaces toujours plus créatives, les équipes responsables des opérations de sécurité sont confrontées à un nombre croissant de faux positifs et de profils de sécurité imprécis. Face à l'avalanche d'alertes déclenchées par les règles, il est illusoire de penser que les responsables de la sécurité pourraient être en mesure d'identifier et de résoudre les problèmes les plus critiques.

L'apprentissage automatique, supervisé et non supervisé, confère davantage de liberté d'action aux analystes humains en automatisant les tâches manuelles laborieuses, telles que la détection des menaces, le tri, la corrélation et l'attribution de scores de risque. Cependant, il ne peut être efficace sans intervention humaine.

Avec les informations dont ils disposent, les analystes humains font appel à leur connaissance du contexte et à leur esprit critique pour déterminer si une détection représente un véritable problème ou non. Si seulement les outils de sécurité vous écoutaient, votre tâche serait tellement plus simple !

Les scientifiques des données qui développent des algorithmes d'apprentissage automatique s'appuient sur les résultats d'analystes humains qui déterminent ce qui constitue réellement une menace, ce qui est inoffensif ou ce qui mérite un examen plus approfondi.

À partir de vos conclusions, ils s'efforcent d'identifier les relations entre les données, de sorte qu'un algorithme puisse automatiser votre approche de la traque des menaces pour collecter les données, détecter les menaces et corriger le problème.

L'apprentissage automatique automatise ce que vous, l'analyste en sécurité, lui avez enseigné, vous permettant ainsi de vous consacrer à la résolution d'autres problèmes. Vous conservez toujours la main et vous continuez de corriger et guider l'outil d'apprentissage automatique pour optimiser son efficacité et, par conséquent, la vôtre.

L'analyse du trafic réseau applique l'apprentissage automatique aux données du réseau pour vous offrir une visibilité complète et des capacités de détection et de correction avancées. Elle vous permet de voir exactement ce qui se passe dans votre environnement, quelles détections nécessitent une attention immédiate et quelles mesures correctives sont les plus acceptables pour les utilisateurs. Tout cela ne se fait pas par magie : c'est vous qui enseignez à l'outil comment appréhender la sécurité à chaque étape du processus.

Prenons un cas concret. Imaginons que des règles statiques déclenchent des alertes lorsqu'elles identifient une augmentation des activités DNS, suivie d'échanges de gros volumes de données vers de nouveaux serveurs dans un nouveau domaine cloud. Vous savez que ces alertes sont des faux positifs parce que votre entreprise est en train de déployer de nouvelles charges de travail applicatives vers un fournisseur cloud secondaire.

Ou peut-être savez-vous qu'il s'agit d'une attaque. Dans tous les cas, vous seul pouvez le savoir. Préférez-vous passer du temps à réécrire et corriger des règles ou, plus simplement, indiquer à votre outil d'analyse du trafic réseau d'apprendre de cet événement ?

L'apprentissage automatique vous offre la possibilité de surveiller votre environnement d'exploitation en continu. Il tire parti de la technologie pour attirer votre attention sur les actions suspectes, tout en éliminant la charge liée à l'administration des règles.

Par exemple, vous ne souhaitez pas imposer aux utilisateurs avec privilèges des règles rigides qui nuisent à leur efficacité. Cependant, vous pouvez demander à l'outil d'analyse du trafic réseau d'apprendre quels utilisateurs avec privilèges accèdent à quels serveurs, quand, d'où, et quels protocoles sont utilisés.

Vous pouvez en outre indiquer à votre outil de sécurité comment réagir lorsque des déviations sont détectées. Peut-être souhaitez-vous que l'utilisateur confirme qu'il veut continuer ou que l'enregistrement granulaire des activités soit activé. Ou peut-être que le nouveau protocole identifié n'est pas sécurisé et que vous souhaitez qu'il soit bloqué pour les actions administratives.

L'apprentissage automatique collecte les données opérationnelles au sein de votre environnement pour vous aider à comprendre le contexte lorsque des problèmes surviennent et pour vous permettre de prendre des décisions rapides quant aux mesures correctives. Et ce, sans vous obliger à corriger continuellement les règles ou à les définir de façon si large qu'elles n'offrent qu'une sécurité de façade.

Certains craignent que l'apprentissage automatique, l'intelligence artificielle et l'apprentissage profond ne remplacent un jour les analystes en sécurité humains. Notre expérience montre que l'apprentissage automatique ne présente que des avantages pour les analystes en sécurité.

Il a augmenté la productivité et la satisfaction au travail de ces analystes — tout comme ces applications qui apprennent ce que nous recherchons sur Internet, à qui nous envoyons souvent des messages ou comment nous aimons voyager nous facilitent la vie.

Nous observons des tendances similaires dans notre vie professionnelle. En tant qu'analyste en sécurité, vous découvrirez une multitude de possibilités nouvelles, car l'apprentissage automatique vous offre une occasion unique de mettre en avant votre créativité, vos capacités de prise de décision et votre faculté à tirer le meilleur parti des technologies.

About the author

Eric Ogren

Eric Ogren is a Senior Analyst at 451 Research. Eric has extensive experience in software development, technology marketing, and as a security industry analyst. Prior to joining 451 Research, Eric held marketing leadership positions with security vendors such as RSA Security and OKENA, and technology vendors such as Digital Equipment, where his experience contributed to pragmatic perspectives for security clients on emerging market trends, company and product strategies, differentiated vendor messaging and positioning, and meeting enterprise solution purchase criteria. Eric holds a BS in Mathematics from the University of Massachusetts and an MS in Computer Science from Boston University.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Maschinelles lernen: die ideale basis für network traffic analytics (NTA)

April 25, 2019
Read blog post
Threat detection

Machine learning: The cornerstone of Network Traffic Analytics (NTA)

January 26, 2019
Read blog post
Threat detection

Apprentissage automatique : la pierre angulaire de l'analyse du trafic réseau

April 25, 2019
Read blog post