agsandrew - Fotolia
« L’intelligence artificielle peut accélérer la détection, l’investigation et la réponse »
PatternEx revendique le développement d’un système de détection des attaques redoutablement efficace, combinant intelligence artificielle et analystes humains. Balazs Scheidler, directeur technique de Balabit, partage son regard sur cette approche.
Les données sont la clé. Dès lors, le recours à l’intelligence artificielle pour traiter d’énormes volumes de données liées à la sécurité, en mode Big Data, se répand de plus en plus. L’intelligence artificielle peut accélérer la détection, l’investigation et la réponse aux menaces les plus récentes, jusqu’aux menaces avancées persistantes (APT) et aux menaces internes les plus difficilement détectables. Et tout cela en optimisant les ressources de sécurité IT.
Pour que cette promesse se concrétise, les professionnels de la sécurité IT doivent se projeter au-delà d’une unique source de données : ils doivent intégrer les informations générées par ces 100 à 150 produits de sécurité déployés au sein d’une grande organisation.
Impliquer analystes et apprentissage machine supervisé au niveau atomique d’un événement de sécurité peut, assurément, améliorer les taux de détection. Mais ce dont les organisations ont réellement besoin est d’aide dans l’automatisation et le soutien du travail des analystes du SOC, des personnes qui ont à gérer des alertes générées par un grand nombre de sources différentes (SIEM, DLP, sécurité des points de terminaison, outils d’analyse comportementale/UBA, etc.).
Les incidents de sécurité impliquent généralement toute une série d’étapes, pas simplement des événements singuliers dans le temps. Dès lors, il n’est pas suffisant d’observer et d’évaluer les événements un par un. Nous avons besoin d’analyser les données relatives à un même incident potentiel à travers plusieurs angles : logs applicatifs, logs d’audit, logs de systèmes de backend, captures paquets, flux de clics.
Et l’on réalise cela en identifiant tout d’abord un comportement anormal dans un flux d’événements singuliers, puis en combinant ces anomalies individuelles dans un concept de plus haut niveau : un utilisateur, un segment réseau spécifique, ou une autre entité. L’utilisation d’une seule source de données présente le risque d’ignorer quelque chose de pertinent.
Les anomalies individuelles jouent un rôle important d’alertes de premier niveau. Mais elles ne permettent pas de résoudre le problème dans sa globalité. Nous avons besoin d’intégrer des alertes et des données à partir de nombreux silos de données pour faire ressortir le contexte plus large d’une activité, afin d’améliorer nos efforts d’investigation dans un SOC.
Ces investigations s’appuient sur des alertes et sur des informations de contexte liées à l’utilisateur/entité dans un même laps de temps. C’est à partir du contexte que les professionnels de la sécurité IT sont capables d’automatiser la grande majorité de leurs processus et de hiérarchiser les alertes pour accorder la p.
L’avantage du machine learning est qu’il qualifie automatiquement et en continu les incidents, jusqu’au point où l’analyste humain doit être impliqué. Un point où le machine learning fournit les informations nécessaires pour que l’investigation puisse être aussi rapide que possible.
L’intelligence humaine ne peut pas être entièrement retirée des opérations de sécurité ; les mesures disciplinaires ne peuvent pas être déclenchées par des automatismes seuls, mais l’intégration de l’intelligence dans les couches les plus basses aide à alléger la peine des équipes.
Mais la clé de la sécurité pilotée par les données n’est autre que la donnée avec laquelle on alimente les solutions analytiques. Il faut donc être conscient que les analyses ne sauraient être meilleures que les données utilisées pour les produire.