Sécurité : les apports des nouveaux systèmes d'analyse du trafic réseau
Introduction
Pas de doute pour de nombreux experts : les techniques d’intelligence artificielle comme l’apprentissage automatique (machine learning) et l’apprentissage profond (deep learning) ouvrent de nouvelles perspectives à la détection des menaces dans le système d’information, en particulier à partir de la surveillance du trafic réseau.
Au printemps 2019, Anton Chuvakin, alors analyste au sein du cabinet Gartner, co-signait une fiche conseil sur l’apprentissage automatique appliqué à la sécurité confirmant notamment la tendance que l’on peut retirer des témoignages de ceux qui ont adopté la technologie – comme Essilor – ou encore de certains tests d’efficacité : les techniques d’apprentissage automatique « sont utilisées aujourd’hui avec succès pour traiter maliciels, hameçonnage, anomalies réseau, accès non autorisé à des données sensibles, analyse comportementale des utilisateurs, hiérarchisation des vulnérabilités, et plus encore ».
Car dans la pratique, l’application de l’intelligence artificielle à la cybersécurité se concentre largement sur le comportement. Sur le réseau, le trafic est plus ou moins prévisible. Les hôtes interagissent généralement avec les mêmes sites ou systèmes, sur les mêmes ports, en utilisant les mêmes instances de chiffrement et en envoyant la même quantité de données. Les attaques impliquent l'utilisation de serveurs de commande et de contrôle, l'utilisation de ports inhabituels, le transfert de quantités de données peu coutumières et une utilisation accrue du chiffrement.
Dans le cas du réseau, l'apprentissage automatique (ou machine learning) peut donc être utilisé pour améliorer l'analyse, l’administration et la sécurité. Mais, pour bien comprendre comment il peut s’appliquer au domaine du réseau, il est important de comprendre quelques modèles d'apprentissage automatique. Les outils de machine learning incorporent un ou plusieurs modèles de calcul, tels que les réseaux neuronaux et les algorithmes génétiques. Cette compréhension est d’autant plus importante que ces systèmes peuvent être appréhendés comme des boîtes noires. Et qu’une compréhension de base des mécanismes à l’œuvre permet de dépasser cette perception pour mieux définir ses attentes – et les contraintes induites par l’adoption de ces outils.
Le marché ne s’y est pas trompé : au fil des ans, la grande majorité des jeunes pousses bâties autour de l’analyse comportementale ont été absorbées, par d’autres acteurs alléchés par les promesses des techniques mises en œuvre. Certains n’en restent pas moins indépendants et continuent de faire agressivement évoluer leurs offres, à l’instar de Darktrace, Vectra, ou encore Gurucul et Blue Hexagon, entre autres.
Si l’analyse du trafic réseau améliore sans doute la sécurité du système d’information, elle est en fait appelée à jouer un rôle crucial. Certaines organisations sont encore sceptiques à l'égard des systèmes de réponse automatisés, préférant utiliser des méthodes manuelles pour réagir aux événements de sécurité. Mais la diffusion de rançongiciels – pour ne citer qu’eux – est plus rapide qu’il n’est possible de réagir manuellement. Cela va inciter toutes les organisations à adopter des systèmes de correction et de réponse entièrement automatisés.
Et il est préférable d'utiliser une intelligence artificielle adaptable ou un mécanisme d'apprentissage automatique dans les outils d'analyse du trafic réseau : les variations subtiles des mécanismes d'attaque et de distribution des charges malveillantes rendent des systèmes à base d’heuristique très rapidement obsolètes.
Plus que jamais, la surveillance du trafic réseau a toute sa pertinence dans une stratégie de cybersécurité globale, même si l’on souhaite commencer avec des outils en apparence peut-être plus simples mais d’une efficacité potentiellement redoutable - comme l’incontournable Suricata, adossé aux outils d’analyse appropriés.
1Apprentissage automatique-
Ce qu’il apporte à la cybersécurité
Machine learning : des apports certains en cybersécurité
Mais encore faut-il avoir les moyens d’en tirer profit. Et surtout, pas question de chercher à compter dessus pour remplacer des analystes : il s’agit plutôt de les « augmenter, en choisissant scrupuleusement les cas d’usage ». Lire la suite
En cybersécurité, l’intelligence artificielle se concentre sur le comportement
L'intelligence artificielle et en particulier l'apprentissage automatique, est utilisée avec succès dans les outils de sécurité informatique. Lire la suite
Analyse comportementale : Broadcom s’offre l’un des derniers indépendants
Le groupe a discrètement déclaré l’acquisition de Bay Dynamics au gendarme des marchés boursiers américains. De quoi compléter le portefeuille de l’activité entreprises de Symantec, racheté l’an dernier. Lire la suite
2Réseau-
L’analyse du trafic pour la détection des menaces
Comment l’analyse du trafic réseau améliore la sécurité
L’intégration de techniques d’apprentissage automatique aide à identifier les menaces au sein du système d’information en temps réel et à accélérer la réponse. Lire la suite
Quel est le rôle de l’apprentissage automatique dans le réseau ?
Les outils analytiques exploitant l’apprentissage automatique peuvent surveiller le comportement réseau, souligner des anomalies, et améliorer la gestion de la sécurité et des performances. Lire la suite
Les outils d'analyse du trafic réseau jouent un rôle nouveau et crucial
Le premier guide du cabinet Gartner sur les outils d'analyse du trafic réseau pour la sécurité va souffler sa première bougie. Découvrez comment l'analyse du trafic réseau s'élargit pour inclure la sécurité des réseaux. Lire la suite
La surveillance du trafic réseau est-elle encore pertinente aujourd’hui ?
L’augmentation du nombre de variantes du protocole DNS a entraîné une augmentation de la demande de surveillance du trafic réseau. Johannes Ullrich, de l’institut SANS, se penche sur ce que cela implique pour les entreprises. Lire la suite
Comment Essilor gagne en visibilité sur son réseau
Le spécialiste des verres de lunettes a décidé de s’appuyer sur la solution de Vectra pour disposer d’une visibilité globale sur son système d’information, dans la perspective de la mise en place d’un centre opérationnel sécurité mondial. Lire la suite
3Marché-
Produits
Darktrace renforce sa solution de détection d’anomalies, avec une pensée pour les analystes
La quatrième version de sa plateforme d’analyse du trafic réseau et de détection d’anomalies embarque un outil d’automatisation des investigations. Elle affine également les capacités de configuration d’Antigena, notamment. Lire la suite
Vectra étend sa plateforme à la détection des détournements de privilèges
Le spécialiste de l’analyse du trafic réseau continue d’étendre le champ d’application de sa technologie, cette fois-ci pour détecter d’éventuels détournements de comptes à privilèges, ou des élévations de privilèges anormales. Lire la suite
Gurucul s’attaque à l’analyse du trafic réseau
Le spécialiste de l’analyse comportementale vient chasser sur les terres d’un Darktrace ou d’un Vectra en étendant son portefeuille au-delà de la recherche d’anomalies dans le comportement des hôtes et des utilisateurs. Lire la suite
Blue Hexagon mise sur l’apprentissage profond pour détecter les menaces dans le réseau
La jeune pousse applique le deep learning à la détection de menaces dans le trafic réseau. Mais certains experts sont réservés quant au réel potentiel de l’approche. Lire la suite
IDS : comment Suricata est graduellement devenu incontournable
En dix ans, ce système de détection d’intrusions open source a pris une place considérable, dans de grands projets et au sein de nombreuses infrastructures critiques. Un succès aux raisons multiples. Lire la suite