La triste vérité sur la détection des anomalies

La triste vérité sur la détection des anomalies

By:
Hitesh Sheth
November 27, 2017

Ce billet de blog a initialement été publié sur LinkedIn.

Le secteur de la sécurité regorge d'éditeurs qui présentent la détection des anomalies comme la panacée contre les cyberattaques.Malheureusement, ce n’est pas l’essentiel.

Le principal défaut de la détection des anomalies est cette tendance à la caricature : tout comportement normal est inoffensif, et tout comportement anormal remonte une alerte de sécurité.

Ceci sans tenir compte du contexte qui devra, dans les cas, être ajouté par une action humaine ultérieure.Or, dans la détection des anomalies, la distinction entre les comportements des utilisateurs légitimes et ceux des cyber-pirates est parfois très floue.

Voici matière à réflexion. Il arrive que, dans le cadre de notre travail, nous sortions des sentiers battus. Nous lisons nos e-mails alors que nous sommes en vacances. Nous nous connectons au réseau de l'entreprise à 3h du matin pour télécharger les fichiers d'un nouveau projet;sous le coup d'une inspiration subite lors d'une insomnie.Ces comportements parfaitement bien intentionnés peuvent paraître suspects.

Quant à eux, les cyberattaquantschevronnés sont parfaitement capables d'imiter les pratiques courantes et de se fondre dans l'environnement en adoptant des comportements normaux.

Ainsi, les solutions de détection uniquement basées sur des anomalies sont plus susceptibles de signaler des employés modèles, qui font leur travail de façon un peu inhabituelle, que d'identifier les cyber-pirates.

«Faux positifs», dites-vous?

Ceci peut être comparé au programme «Stop-and-frisk» lancé à New-York en 2015 pour saisir les armes en circulation. Ce programme s’est révélé un échec lorsqu’il s’est uniquement concentré sur l’origine raciale des personnes contrôlées. Des centaines de milliers de contrôles ont été réalisées pour des saisies très faibles. Il a été convenu que le programme «stop-and-frisk» compensait son inefficacité par une utilisation excessive des ressources nécessaires à son fonctionnement.

D’autres programme, plus efficaces, ont par ailleurs été testés. Notamment T-ray qui discrètement et instantanément détecte l’image thermique d'une personne. S'il y a une arme dissimulée, le T-Ray montre une forme de pistolet froid par contraste avec le corps chaud.

Vectra peut être comparé à la solution T-Ray en utilisant ses mécanismes d'intelligence artificielle pour détecter les comportements d'attaque caractéristiques et non pas, pour simplement distinguer des comportements «normaux» ou «anormaux».

Les fournisseurs de détection d'anomalies ont besoin de beaucoup d'analystes en cybersécurité pour scruter chaque événements suspects, réel ou non et les re-contextualiser.

La détection des anomalies oblige les analystes en cybersécurité à examiner chaque événement suspect, que le risque soit ou non légitime. C'est en quelque sorte l'opposé du dicton «il n'y a pas de fumée sans feu»: les comportements anormaux génèrent toujours énormément de fumée, même lorsqu'il n'y a pas l'ombre d'un feu. Les analystes en sécurité doivent examiner chaque alerte, consacrant des heures et des ressources considérables à suivre chaque fausse piste, sans visibilité sur les menaces réelles. Ce qui disperse et rend moins efficace l’action tout en retardant la détection du vrai problème.

La perte de temps, et d'argent, est énorme. Plus important encore, il semble imprudent d'exposer le capital intellectuel et la réputation de son entreprise aux risques que comporte une telle approche

Attaques internes

Les indicateurs de menaces internes peuvent être tout aussi trompeurs. Certes, certaines opérations de piratage très médiatisées se sont fondées sur des comportements anormaux (pensez à Edward Snowden).

Cependant, la grande majorité des attaques d'origine interne font mouche lorsqu'elles se mêlent aux activités normales. Elles ne sont d'ailleurs découvertes qu'après coup, alors que le mal est fait depuis longtemps.

Dans le cas du scandale des comptes frauduleux de Wells Fargo, les employés incriminés semblaient bien faire leur travail, avant qu'il n'apparaisse qu'ils le faisaient un peu «trop bien». Ils connaissaient et suivaient les processus standard. Ils utilisaient leurs identifiants suivant les règles établies Ils n'outrepassaient pas leurs droits d'accès ou autorisations.

Les cyberattaques avancées se comportent de façon similaire: elles se fondent dans la masse des activités normales.

L'équipe de sécurité informatique n'a aucune chance de les intercepter à moins qu'elle ne recherche spécifiquement les comportements d'attaque au lieu des anomalies génériques.

«Voilà la triste vérité sur la détection générale des anomalies.»

Voulez-vous en savoir plus? Plus d'informations ici.