Automatisation de la cybersécurité

Machine learning : première ligne de défense face à des menaces toujours plus répandues

Les cybermenaces ne cessent de se complexifier pendant que leurs auteurs, eux, continuent d’agir en toute impunité. Pour garder un coup d’avance, les RSSI doivent trouver un moyen de contrecarrer leurs plans.

Or, la multiplication fulgurante des informations générées automatiquement leur complique la tâche. Capteurs, webcams, systèmes de géolocalisation, distributeurs automatiques... l’automatisation d’une multitude d’équipements génère des masses de données qui doivent être protégées. Nos interactions digitales, elles aussi, s’automatisent de plus en plus. Ainsi, une commande vocale ou un simple tap sur un écran permet désormais d’accéder à des données – et d’en créer de nouvelles généralement traitées et stockées sur le même appareil.

Bref, nous faisons face à des montagnes de données générées automatiquement. Pourtant, dans la plupart des entreprises, les systèmes de sécurité n’ont pas évolué. Ces produits s’appuient sur l’humain pour corréler et filtrer d’importants volumes d’alertes provenant d’une multitude de sources. Et c’est sur la base de ces informations que sont prises les décisions critiques. Une telle démarche n’est plus tenable face à l’ampleur de la tâche. Pire, elle fragilise les entreprises et les expose à d’énormes risques. Par définition, les systèmes manuels s’intègrent mal et sont peu évolutifs. Ils finissent donc par faire apparaître des brèches dans lesquelles les malwares n’ont aucun mal à s’engouffrer. Pour les entreprises, la facture de telles compromissions peut être très lourde.

Combattre l’automatisation par l’automatisation

Chez Juniper, nous sommes persuadés que l’automatisation est le seul moyen de protéger des volumes de données en pleine explosion. Côté réseau, c’est dans le domaine de la sécurité que les entreprises ont le plus à gagner de l’automatisation. Explication : quand une nouvelle menace apparaît, le meilleur moyen de la neutraliser est de la faire passer le plus vite possible de l’état de menace inconnue à connue, puis largement connue. C’est là que l’automatisation devient indispensable.

Cette automatisation est elle-même rendue possible grâce à l’intelligence artificielle et à son pendant, le machine learning, dont les algorithmes visent à faire parler les données qui serviront à prendre des décisions et établir des prévisions. Mais pour que les machines puissent réellement apprendre, il faut des quantités massives de données. Par conséquent, plus un système est riche en données, plus il est prompt à neutraliser un incident avant qu’il ne cause des dégâts.

Nous recommandons a minima d’intégrer le machine learning automatisé à vos dispositifs de sécurité. Pourquoi ? Tout simplement parce que le cybercrime devrait coûter 2 000 milliards de dollars à l’économie mondiale d’ici 20201. Et même si l’être humain pourrait en théorie faire face à l’explosion des volumes de données et aux risques associés, la réalité est que nous manquons de talents suffisamment formés. Pour preuve, en 2019, près d’un million et demi de postes dans la sécurité opérationnelle (SecOps) ne seront pas pourvus faute de compétences2. Et selon une étude d’Enterprise Strategy Group, 45 % des entreprises déclarent faire face à une pénurie de compétences en cybersécurité, soit plus que n’importe quel autre domaine informatique3.

Pour ne rien arranger, de nombreuses entreprises répondent de façon sporadique à leurs besoins en sécurité. Il en résulte un patchwork de produits difficiles à gérer car souvent incompatibles. Résultat : elles perdent leur temps à faire fonctionner cet ensemble hétéroclite plutôt qu’à se concentrer réellement sur leur défense et à se préparer à toute éventualité.

La bonne nouvelle, c’est que la télémétrie de nos réseaux recueille déjà les informations essentielles à la détection et au blocage rapides des activités malveillantes. Pour protéger efficacement nos données, nos utilisateurs et nos infrastructures, il nous faut donc renforcer les solutions de sécurité par une intelligence capable d’identifier rapidement les comportements anormaux et d’engager automatiquement des actions visant à tuer la menace dans l’œuf.

Plus malin que les malwares

Les programmes antivirus traditionnels servent généralement à détecter et neutraliser des menaces déjà identifiées et caractérisées par une signature connue. Mais même avec des antivirus à jour, de nombreuses entreprises se font encore surprendre. Il est donc clair que les antivirus sont impuissants face aux attaques sophistiquées d’aujourd’hui. Pour résoudre ce problème, beaucoup d’entreprises ont choisi de déployer des produits de protection anti-malware avancée, ajoutant de fait une énième couche de protection à des environnements de sécurité déjà très complexes.

Chez Juniper, nous pensons que la spirale de la cybercriminalité ne pourra être enrayée qu’en intégrant le machine learning aux solutions de sécurité. Grâce à ses algorithmes, le machine learning permet d’analyser les données, de les faire parler et d’établir des prévisions. Forme d’intelligence artificielle dite « faible », le machine learning n’en est pas moins capable de traiter et corréler simultanément des millions de variables qui permettront de déterminer les schémas de trafic normaux et anormaux sur les réseaux. Les informations assimilées par les machines peuvent ainsi servir à identifier les comportements suspects et prévenir les attaques imminentes. Bref, le machine learning apporte avec lui la promesse de nous doter des armes dont nous avons besoin pour prédire et contrecarrer les actions des cybercriminels.

Prenons le cas de ransomwares comme WannaCry. Leur modus operandi consiste généralement à chiffrer ou corrompre des données plus vite qu’aucun être humain ne pourrait le faire. Prise en otage, l’entreprise n’a alors d’autre choix que de verser la rançon demandée. Une solution anti-malware assistée par machine learning pourra : 1) analyser le trafic, 2) détecter les exploits qui véhiculent le ransomware, 3) pousser ce ransomware à se dévoiler, 4) catégoriser le contenu comme malveillant, 5) confiner l’attaque, et enfin 6) se servir de ces informations pour déterminer les niveaux de risque sur le trafic futur.

Cela ne veut toutefois pas dire que les produits de sécurité traditionnels ont fait leur temps. Au contraire, ils abattent un énorme travail de filtrage de toutes les formes connues de trafic malveillant, ce qui fait d’eux l’une des chevilles ouvrières de la lutte contre le cybercrime. Nous pensons qu’il est important d’intégrer le machine learning à une variété d’outils (anciens comme nouveaux) fonctionnant en synergie dans le cloud. Ils pourront ainsi être rapidement modifiés ou mis à jour au fur et à mesure des menaces émergentes.

Tout est question d’intégration

Intégrer le machine learning à tous les produits de prévention des menaces est essentiel. Ils pourront alors apprendre à identifier les comportements normaux dans les structures logicielles, les applications et les schémas de trafic réseau, de manière continue et dynamique. Ils permettront également d’analyser simultanément des millions de données et variables symptomatiques d’une attaque imminente.

Nous préconisons d’associer le machine learning aux méthodes de détection traditionnelles basées sur les règles et sur les signatures. Vous pourrez alors identifier tant les menaces connues que les malwares jusqu’alors inconnus et passés inaperçus. Au final, cette combinaison entre analyse statique et analyse dynamique se traduit par une protection rapide et précise contre les menaces. Côté déploiement, nous recommandons le cloud. D’une part pour exploiter son énorme puissance de calcul, et d’autre part pour mettre rapidement à jour les modèles de machine learning face à des menaces en perpétuelle évolution. De cette manière, les solutions de cybersécurité peuvent détecter et bloquer des menaces avant même que les acteurs de la sécurité ne soient au courant de leur existence.

Le machine learning ne dispense pas complètement de la nécessité de faire appel au jugement humain. Au contraire, il permet de démultiplier les connaissances d’analystes qualifiés sur de vastes pools de données et une énorme surface de risque. Intégré à d’autres processus de sécurité, il leur permet de monter en puissance à mesure que les volumes de données augmentent et que les analyses se complexifient.

1 Source : Forbes, 17 janvier 2016.
2 Source : CSO Magazine, 28 juillet 2015.
3 Source : http://www.esg-global.com/blog/cybersecurity-skills-shortage-impact-on-technology-innovation