Sécurité intelligente : utiliser l`apprentissage automatique

Transcription

Sécurité intelligente :
utiliser l'apprentissage
automatique pour
détecter des attaques
virtuelles avancées
Un modèle de cybersécurité
progressif et basé sur
les données voit le jour
et accélère le délai de
détection, ce qui permet
de limiter le risque.
1 |
Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées
Les utilisateurs malveillants n'attendront pas que
votre logiciel de sécurité les débusquent ; des
rapports relatifs au secteur indiquent que les attaques
virtuelles peuvent passer inaperçues pendant près de
200 jours. Dans l'environnement de menaces actuel,
les entreprises ont besoin de solutions de sécurité
intelligentes qui évoluent constamment pour réagir
face aux dernières menaces quand elles surviennent.
Votre entreprise est-elle capable de détecter ce qu'il faut dans la jungle des
données ? Poursuivez votre lecture pour découvrir comment un modèle
de sécurité progressif peut vous aider à réduire le risque.
2 |
TABLE DES MATIÈRES
04
05
07
09
11
12
3 |
200 jours avant la détection ? Les rapports du secteur ne sont pas des plus rassurants
Le seuil de 1 milliard de dollars : l’exposition aux risques est plus marquée que jamais
Modus operandi : l’attaque avancée passe à l’action
Anticipation : le choix d’un modèle de sécurité proactif
Amélioration de la détection : l’importance d’un signal clair
De mois en minutes : analyses appliquées et amélioration en continu
200 jours avant la détection ?
Les rapports du secteur ne sont pas des plus rassurants
Dans le même temps, à
quel point ce nombre assez
arbitraire est-il précis et utile ?
Les estimations varient, même
au sein de la communauté
Lorsque des professionnels de la sécurité détectent une violation, il est plus
que probable que l'utilisateur malveillant est actif dans l'environnement
de la victime depuis un certain temps déjà. Mais depuis combien de temps ?
spécialisée dans la sécurité. Voici
un bref aperçu montrant à quel
point les approches des entreprises
Pour de nombreuses personnes actives dans le secteur, 200 jours” est la durée moyenne. Mais cette « norme » pose
également problème pour différentes raisons.
D'une part, admettons-le : c'est très long. En d'autres termes, cela fait six mois et demi qu'un utilisateur malveillant
sophistiqué, seul ou en groupe, est actif au cœur de vos systèmes. Au cours de cette période funeste, les
données sensibles et les informations régies par la propriété intellectuelle de votre entreprise ont probablement
été exposées, ce qui suggère une très forte probabilité de compromission.
L'inquiétude ressentie au cours de ces 200 jours est un paramètre dont tiennent compte les responsables
de la sécurité informatique, les agents de sûreté et même les PDG. À l'heure actuelle, les professionnels de
la sécurité et le secteur des technologies dans son ensemble recherchent assidument de nouvelles mesures
de sécurité plus avancées afin de limiter cette durée.
D'un point de vue pratique, « 200 jours » n'est qu'un point de repère, un chiffre employé pour évaluer
et aborder une progression sur l'ensemble du secteur. Les responsables de la sécurité informatique et
les agents de sûreté savent que le nombre de jours n'est pas l'élément le plus important d'une violation.
Ce qui nous préoccupe le plus, c'est qu'un seul et même jour après une violation est déjà trop long et
qu'au moment de la découverte de celle-ci, il est déjà trop tard. Réduire cette durée à zéro jour est
l'objectif ultime.
Pour ce faire, les entreprises doivent adopter une approche plus intelligente pour détecter
les menaces plus rapidement et inverser la tendance quant à l'émergence d'attaques virtuelles
sophistiquées. Ce livre électronique est conçu pour donner aux lecteurs un aperçu de la manière
dont les menaces avancées procèdent pour compromettre vos informations sensibles et de la
façon dont l'efficacité du cloud, associée à la science des données et à l'expertise de spécialistes,
peut réduire le temps nécessaire pour que votre entreprise détecte une attaque.
par rapport au problème divergent :
146 jours :
rapport M-Trends (2016), Mandiant,
a FireEye Company
229 jours :
page sur l'approche actuelle de
Lockheed Martin en matière de contrôle
des menaces avancées
200 jours :
page sur l'approche de Microsoft en matière
d'analyse des menaces avancées
Le nombre de menaces
est-il toujours en
hausse ?
Le Rapport d'enquête sur l'atteinte à la sécurité
des données le plus récent de Verizon ne mentionne
pas de chiffres, mais précise que le déficit s'est
précisé au cours de l'année dernière, avec une légère
amélioration en 2014.
4 |
Le seuil de 1 milliard de dollars :
l'exposition aux risques est plus
marquée que jamais
Qu'il s'agisse d'une petite entreprise ou d'un grand groupe, les utilisateurs malveillants
qui effectuent des attaques avancées sont une problématique constante qui va
bien au-delà des coûts initiaux relatifs à une violation. Les utilisateurs malveillants
hautement qualifiés et équipés perpètrent de telles actions dans un but de vol,
d'espionnage industriel, voire d'attaque globalisée à l'échelle d'un État.
Cela implique en premier lieu des problèmes financiers. À l'heure actuelle, de
nombreux utilisateurs malveillants qui perpètrent des attaques avancées cherchent
à tirer profit de leurs exactions. Il ne fait aucun doute que, par la suite, les dégâts
ne feront qu'augmenter.
En 2015, un nouveau seuil a été atteint lorsqu'une salve d'attaques
sophistiquées ont percé les défenses de plus de 100 banques réparties dans
30 pays, avec des pertes estimées à plus d'1 milliard de dollars.. Du fait du
risque élevé, les polices d'assurance contre les risques virtuels représentent
désormais une nouvelle dépense pour de nombreuses entreprises, avec
des primes qui devraient tripler d'ici 2020, pour atteindre un montant total
de 7,5 milliards de dollars.
5 |
Plus
de 200
Le nombre de jours moyen au
cours desquels les utilisateurs
malveillants restent sur un
réseau avant d'être détectés.
76
%
Le coût estimé de la
cybercriminalité pour
l'économie mondiale
pourrait atteindre :
Les identifiants compromis
représentent plus de 76 %
des moyens d'intrusion sur
un réseau.
500
milliards
de dollars
Il ne faudrait pas non plus oublier les dommages plus difficilement quantifiables et
potentiellement plus onéreux que les attaques virtuelles occasionnent, tels que la mise
à mal de l'image de marque, la méfiance des clients, la stagnation de la croissance et
Le coût moyen d'une atteinte à la sécurité
des données pour une entreprise :
3,5 millions
de dollars
la compromission des relations diplomatiques. Bien qu'ils n'occasionnent pas forcément
des pertes financières, ces dommages peuvent entraîner des conséquences négatives
de longue durée pour une entreprise, ce qui met à mal la fidélité des clients, alimente
un sentiment de scepticisme et pointe du doigt les responsables de la sécurité qui
doivent répondre des défaillances.
D'autres attaques sont perpétrées pour obtenir des informations sensibles et non
dans un but financier. Un exemple : STRONTIUM. STRONTIUM est un groupe actif
bien connu dont les cibles sont notamment les organes gouvernementaux, les
institutions diplomatiques, les journalistes et les forces armées. Les malfaiteurs ne
demandent pas d'argent et ne visent pas une cible d'une importance particulière.
Ils cherchent à obtenir les données les plus sensibles possible. De même, l'attaque
Red October, démasquée en 2013, avait pour objectif d'infiltrer des institutions
gouvernementales et diplomatiques pendant au moins cinq ans.
Une PME sur cinq est la cible d'attaques
virtuelles.
Bien que ce procédé semble sortir tout droit d'une fiction d'espionnage, il s'agit
d'un réel problème. Les coûts « invisibles » relatifs à des violations de sécurité
sont un sujet qui aurait pu être exploité par un auteur de romans de sciencefiction il y a vingt ans. Avec autant d'enjeux, il ne fait aucun doute que les
budgets augmentent et que les sociétés recherchent de nouvelles solutions
pour répondre au problème grandissant des attaques virtuelles avancées.
Les conséquences de la perte
de productivité et de croissance
imputable à la cybercriminalité
sont estimées à :
-Ponemon Institute
6 |
3 000
milliards
de dollars
Modus operandi :
l'attaque avancée passe à l'action
Que fait une attaque avancée pendant les 200 jours qui suivent son intrusion sur votre
réseau ? Les utilisateurs malveillants actuels ont recours à un ensemble de méthodes
et utilisent des techniques innovantes et traditionnelles pour développer de nouveaux
stratagèmes d'intrusion touchant tant des individus que des technologies. Plus une attaque
reste longtemps sans être détectée sur votre système, plus elle peut glaner des informations,
ce qui souligne l'importance d'une détection anticipée.
Près de 80 % des attaques commencent par une tromperie
classique : une attaque de hameçonnage avec des ruses
attrayantes amenant les utilisateurs à compromettre leurs
informations. Toutefois, le fournisseur de solutions de sécurité
McAfee a récemment signalé une augmentation du nombre
d'attaques sophistiquées, y compris de nouvelles attaques
liées à l'intégrité qui modifient les processus internes et
réoriente les données qui parcourent le réseau. (Il s'agissait
de la technique utilisée lors de l'attaque contre les banques,
dont les dommages ont été chiffrés à 1 milliard de dollars.)
7 |
Les utilisateurs malveillants continuent de faire évoluer
leurs techniques avec de nouvelles formes de programmes
malveillants qui échappent mieux à la détection ou s'effacent
eux-mêmes. Les vecteurs d'attaque ont également évolué :
non contents de cibler uniquement les PC et serveurs
des sièges sociaux d'entreprises, les utilisateurs malveillants
cherchent à compromettre les bureaux satellites, les ordinateurs
personnels d'employés, voire les logiciels de téléphones
mobiles, les appareils portables et les véhicules.
Understanding the Cyber Kill Chain®
Les violations impliquent généralement six phases, appelées Cyber Kill Chain® par la communauté
spécialisée dans les renseignements de sécurité (une phrase déposée par Lockheed Martin). Ces phases
peuvent se succéder, se présenter en parallèle ou dans un ordre complètement différent, et chacune offre
également une opportunité pour obtenir des renseignements pour venir à bout d'utilisateurs malveillants :
Reconnaissance
Exploitation
L'utilisateur malveillant analyse sa cible. Cela peut impliquer
Le code compromet le système. Parfois, le code fourni
des procédures techniques ou simplement la navigation
commence immédiatement à exécuter les tâches de
sur le site web de votre société. Ces manœuvres passent
l'utilisateur malveillant. À d'autres moments, l'attaque passe
souvent inaperçues, mais leur objectif consiste à coordonner
par plusieurs phases, comme lorsque le package initial
des comportements bénins en apparence qui peuvent être
commence à télécharger de l'autre code, s'exposant ainsi
considérés comme les prémices d'une attaque.
à des alertes réseau.
Renforcement
Commande et contrôle (C2)
L'utilisateur malveillant crée une protection pour dissimuler
L'utilisateur malveillant et le code collaborent pour attaquer
toute charge malveillante. Il n'est pas toujours possible
le système. Il peut ainsi s'agir de mouvements latéraux
de détecter l'arsenal spécifique d'une attaque, mais une
conçus pour acquérir des identifiants à valeur élevée ou
fois découverte et décortiquée, cette tentative permet
d'une exploration directe du réseau pour trouver les sources
une meilleure anticipation à l'avenir.
de données ciblées.
Mise à disposition
Actions intentionnelles
L'utilisateur malveillant infecte le système grâce à du code
Subtilisation de données sensibles. À ce stade, l'attaque
malveillant ou incite un utilisateur à le télécharger. Il s'agit de
semble fructueuse. Qu'il s'agisse d'informations financières
la phase critique au cours de laquelle l'utilisateur malveillant
relatives aux clients, de documents top secret ou de projets
s'introduit dans le système et commence à nuire.
pour votre produit nouvelle génération, l'utilisateur malveillant
s'en est emparé.
8 | |Sécurité
Sécurité
intelligente :
intelligente :
utiliser
utiliser
l'apprentissage
l'apprentissage
automatique
automatique
pour
pour
détecter
détecter
desdes
attaques
attaques
virtuelles
virtuelles
avancées
avancées
Source : Lockheed Martin
Anticipation :
le choix d'un modèle
de sécurité proactif
En raison de la discrétion dont font preuve les
utilisateurs malveillants, les entreprises doivent
opter pour un modèle de sécurité proactif qui
se concentre sur l'amélioration de leur capacité
à détecter ces utilisateurs et à bloquer leurs
tentatives.
Bien que le modèle traditionnel de sécurité en entreprise ait débuté
par la protection du périmètre réseau, les experts suggèrent
désormais d'adopter une approche plus proactive qui commence
par la détection, rendue possible par une solide analyse de
la sécurité. Selon ce modèle, tout part de là en faveur d'une
amélioration constante, étant donné que les défenses avant
que la violation ne survienne sont régulièrement optimisées grâce
à de nouveaux renseignements issus de la détection et de la
réaction post-violation.
Détecter
En se concentrant sur la détection basée
sur les analyses, les entreprises sont plus
à même de se défendre contre les attaques
avancées et leurs tactiques en pleine
évolution.
Réagir
Plutôt que de se contenter de résoudre une
vulnérabilité, la phase de réaction devient
une véritable source de nouveaux renseignements.
Protéger
9 |
Les données obtenues lors de phases de détection
et de réaction sont utilisées pour améliorer
continuellement les technologies de défense
avant toute violation.
Au cours des dernières années, les responsables de la sécurité informatique et les agents de sûreté ont
travaillé pour adopter cette approche en intégrant des mesures exploitant des renseignements de sécurité
qui utilisent des données et des analyses afin de détecter rapidement la prochaine attaque et d'améliorer
les défenses de manière générale. Cette démarche inclut notamment les étapes suivantes :
•
Investissement dans des logiciels de sécurité et du
matériel sécurisé avancés.
•
Inscription à des flux (souvent nombreux) de
renseignements sur les menaces.
•
Formation des collaborateurs sur les impératifs et
risques en matière de sécurité.
•
•
Déploiement d'une solution SIEM (Security
Intelligence Event Management).
Développement de processus pour mettre en
corrélation les données relatives aux menaces et
recours à des spécialistes des données pour les
analyser.
Jusqu'à présent, ces outils et processus se composaient des réactions d'acteurs du secteur à des attaques avancées. Par ailleurs, comme pour
des nombreux efforts anticipés dans le secteur des technologies, ces démarches ont enregistré des résultats mitigés.
Mais elles ne sont pas pour autant inefficaces. Le rapport M-Trends 2016
de Mandiant indique que lorsque les sociétés parviennent à détecter des
violations à l'aide de leurs propres systèmes, la durée de persistance d'un
programme malveillant dans un environnement est fortement réduite.
Toutefois, il y a également des opinions négatives, notamment relatives
aux dépenses, à l'intégration fastidieuse et au processus manuel inefficace
de mise en corrélation des données sur les menaces et d'ajout de celles-ci
au système.
Par ailleurs, lorsque tout est en place pour votre solution SIEM, un autre
problème se présente : l'encombrement. Le nombre d'alertes et le volume
de données pour les entreprises les plus avancées sont bien trop élevés
pour pouvoir les exploiter valablement.
10 |
Si l'objectif de l'ensemble de ces efforts consiste à réduire cette période
de 200 jours pour se rapprocher d'une détection en temps réel,
l'encombrement est hélas devenu un obstacle majeur et un facteur
qui fait de la détection un fardeau (onéreux).
Pour rester au courant des attaques avancées, les entreprises doivent
continuer d'investir dans leurs initiatives SIEM et les processus associés.
Seul le cloud peut assurer la protection, la détection et la résolution
nouvelle génération dont les entreprises ont besoin aujourd'hui, y compris
les mécanismes d'alerte intégrés aux capteurs de plateforme, dans un but
d'amélioration perpétuel visant à optimiser les protections grâce à des
renseignements concrets en matière de sécurité.
Amélioration de la détection :
l'importance d'un signal clair
En réduisant le temps nécessaire pour détecter une attaque, les entreprises sont confrontées à un dilemme
contradictoire : devoir traiter trop de données relatives à la sécurité tout en ne disposant pas de suffisamment
d'informations pour distinguer le signal du bruit et comprendre rapidement un incident.
Il ne s'agit pas ici d'accumuler simplement du volume, mais également de séparer les données. De nombreux
signaux d'attaque semblent anodins en eux-mêmes ou sont catégorisés selon le secteur, la distance et les
calendriers. Sans renseignements clairs issus de l'ensemble des données, une détection prématurée devient
un jeu de hasard. Même les entreprises les plus étendues sont confrontées aux limitations suivantes :
•
Les renseignements sur les menaces réelles nécessitent plus de données que celles
que la plupart des entreprises peuvent elles-mêmes acquérir.
•
Dégager des modèles et adopter une approche plus avisée vis-à-vis de cet énorme
ensemble de données nécessite des techniques avancées, telles que l'apprentissage
automatique, en plus de l'efficacité informatique.
•
En fin de compte, l'application de nouveaux renseignements en faveur de l'amélioration
continuelle des mesures et technologies de sécurité nécessite l'intervention d'experts
en chair et en os qui comprennent le langage des données et prennent des décisions.
C'est précisément à ce niveau que Microsoft veut inverser la tendance. Du fait des diverses activités de Microsoft,
les données relatives aux menaces et aux activités de la société sont issues de tous les niveaux du processus de
développement technologique, de chaque secteur vertical et dans le monde entier.
Les produits de sécurité et les technologies cloud de Microsoft sont conçus pour être compatibles et signaler des
données relatives aux menaces dès que des problèmes se présentent. Nous obtenons ainsi des données de « boîte
noire » qui nous permettent de diagnostiquer des attaques, de décortiquer des techniques de menaces avancées et
d'appliquer ces renseignements sur l'ensemble de la plateforme.
Les renseignements de
Microsoft sur les menaces
couvrent plusieurs milliards de
points de données :
35 milliards
de messages analysés
mensuellement
600 000
adresses électroniques
indésirables suivies
250 millions
d'utilisateurs mondiaux
de Windows Defender
600 millions
d'ordinateurs émettant
des rapports mensuels
Plus de
8,5 milliards
d'analyses de pages web Bing
par mois
1 milliard
d'utilisateurs sur l'ensemble
des segments professionnels
et privés
Plus de 200
Services cloud
11 |
Source : Rapport des renseignements
de sécurité de Microsoft
De mois en minutes :
analyses appliquées et
amélioration en continu
Depuis près de 20 ans, Microsoft transforme les menaces en
renseignements utiles qui permettent de fortifier sa plateforme et
de protéger ses clients. Du programme SDL (Security Development
Lifecycle) né à la suite des premières attaques de vers, tels que Blaster,
Code Red et Slammer aux nouveaux services de sécurité intégrés
aux plateformes et services, l'entreprise n'a pas cessé de développer
des processus, technologies et méthodes pour détecter des menaces
en pleine évolution et y répondre, tout en protégeant les données
et utilisateurs.
De nos jours, grâce aux avantages énormes que permet le cloud,
la société cherche de nouvelles possibilités pour utiliser ses
moteurs analytiques enrichis alimentés par les renseignements
sur les menaces afin de protéger ses clients. En appliquant
une association de processus automatisés et manuels, associés
à l'apprentissage automatique et au travail d'experts en chair
et en os, nous sommes en mesure de créer un graphique de
sécurité intelligent qui apprend par lui-même et qui évolue
en temps réel, ce qui permet de réduire le temps consacré
à la détection de nouveaux incidents touchant nos produits
et à la réaction face à de tels défis.
Sécurité intelligente
Grâce à ce graphique de sécurité intelligent, Microsoft crée le
mécanisme le plus complet et le plus flexible du secteur afin de
partager les renseignements sur les menaces, d'appliquer des analyses
et d'améliorer la détection pour l'ensemble de ses produits et services, et
ce immédiatement, et non en 200 jours.
Comptes
Microsoft
Operations
Management
Suite (CMS)
Azure Security
Center (ASC)
Advanced Threat
Analytics (ATA)
Solution antiprogrammes
malveillants
Windows
Defender
Azure
Active Directory
Windows Defender
Advanced Threat
Protection (ATP)
Microsoft Cloud
Application Security
(MCAS)
Office 365
Advanced Security
Management (ASM)
Exchange Online
Protection (EOP)
API Interflow et service d'attribution des menaces
(Interface, informations, menace, intel, big data, plateforme et rapports d’attribution)
Analyse
(Apprentissage automatique, Detonation Service, suivi comportemental, heuristique)
Rassemblement et normalisation des données
(Flux de données depuis les produits)
Confidentialité/Limites en matière de conformité
Microsoft
System Center
Microsoft
Security
Essentials
12 |
Microsoft Azure
Outil de
suppression
de programmes
malveillants
Humains
Apprenez-en plus sur les renseignements en matière
de sécurité chez Microsoft
Comme le paysage des menaces en lui-même, l'approche de Microsoft en matière
de renseignements sur la sécurité évolue en continu. Les clients peuvent en savoir plus
et rester au fait des derniers développements via différentes ressources :
Le blog de Microsoft
sur la sécurité
Azure Active Directory
Identity Protection
Les experts Microsoft qui se penchent sur
le paysage des menaces en perpétuelle
évolution communiquent leur opinion
sur la manière dont Microsoft et le secteur
dans son ensemble procèdent pour garder
une longueur d'avance.
Azure AD Identity Protection est un produit
qui est continuellement mis à jour avec
les derniers renseignements en matière
de sécurité. Les utilisateurs sont invités à
accéder à l'évaluation publique afin de
voir par eux-mêmes comment les données
sont employées pour veiller à ce que les
protocoles de sécurité soient à jour.
13 |
Le Rapport des
renseignements de sécurité
de Microsoft
Deux fois par an, Microsoft publie un
rapport approfondi sur les tendances
et les données sous-jacentes en matière
de sécurité. Les utilisateurs sont invités
à utiliser le rapport pour prioriser et cibler
les efforts liés à la sécurité.
14 |
©2016 Microsoft Corporation. Tous droits réservés. Le présent document est fourni en l'état.
Les informations et les points de vue exprimés dans le présent document, y compris les URL
et autres références à des sites web, sont susceptibles de changer sans préavis. Vous assumez
les risques associés à leur utilisation. Le présent document ne vous donne pas les droits juridiques
propres à la propriété intellectuelle de tout produit Microsoft. Vous pouvez photocopier et utiliser
ce document à titre de référence interne.

Sécurité intelligente : utiliser l`apprentissage automatique

Transcription

Documents pareils

La sécurité

Attention au whaling, ce phishing qui cible les équipes dirigeantes

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

Formation Techniques de hacking et tests d`intrusion

livre blanc - Bitdefender

Le test d`intrusion une valeur ajoutée

1ER MAI 2016 FETE DU TRAVAIL

1 ORAL - BTS SIO - SESSION 2013 Sujet n°1 http://www.youtube