Les flux de renseignement sur les menaces (TI) fournissent des informations cruciales sur le comportement des attaquants pour adapter les défenses d'une entreprise au paysage des menaces. Sans ces flux, vos outils de sécurité et ceux utilisés par votre fournisseur de sécurité manqueraient de l'intelligence brute nécessaire pour défendre les opérations et actifs cybernétiques.
Mais provenant de communautés open source, partagées et de fournisseurs commerciaux, les flux TI varient fortement en qualité. Ils n'englobent pas toutes les menaces connues et contiennent souvent des faux positifs, ce qui conduit au blocage du trafic réseau légitime et impacte négativement l'entreprise. L'équipe de sécurité de Cato Networks a constaté que même après avoir appliqué les meilleures pratiques du secteur, 30 pour cent des flux TI contiendront des faux positifs ou manqueront des indicateurs de compromis (IoCs) malveillants.
Pour relever ce défi, Cato a développé un système d'évaluation de réputation spécialement conçu. Statistiquement, il élimine tous les faux positifs en utilisant des modèles d'apprentissage automatique et de l'IA pour corréler les informations de réseau et de sécurité disponibles. Voici ce que nous avons fait, et bien que vous n'ayez peut-être pas le temps et les ressources pour construire un tel système vous-même, voici le processus pour faire quelque chose de similaire dans votre réseau.
Le plus grand défi auquel fait face toute équipe de sécurité est d'identifier et de stopper les menaces avec un minimum de perturbation du processus commercial. L'ampleur et le rythme d'innovation des attaquants mettent l'entreprise moyenne sur la défensive. Les équipes IT manquent souvent des compétences et outils nécessaires pour stopper les menaces. Même lorsqu'elles ont ces ingrédients bruts, les entreprises ne voient qu'une petite partie du paysage global des menaces.
Les services de renseignement sur les menaces prétendent combler cette lacune, fournissant les informations nécessaires pour détecter et stopper les menaces. Les flux TI se composent de listes d'IoC, telles que des adresses IP, URL et domaines potentiellement malveillants. Beaucoup incluront également la gravité et la fréquence des menaces.
À ce jour, le marché compte des centaines de flux TI payants et gratuits. Déterminer la qualité des flux est difficile sans connaître l'étendue complète du paysage des menaces. La précision est particulièrement importante pour assurer un minimum de faux positifs. Trop de faux positifs entraînent des alertes inutiles qui submergent les équipes de sécurité, les empêchant de repérer les menaces légitimes. Les faux positifs perturbent également l'entreprise, empêchant les utilisateurs d'accéder à des ressources légitimes.
Les analystes de sécurité ont tenté d'éviter les faux positifs en examinant les IoC communs parmi plusieurs flux. Il a été pensé que les flux avec plus d'IoC partagés sont plus autoritaires. Cependant, en utilisant cette approche avec 30 flux TI, l'équipe de sécurité de Cato a encore trouvé que 78 pour cent des flux qui seraient considérés comme précis continuaient à inclure beaucoup de faux positifs.
Figure 1. Dans cette matrice, nous montrons le degré de chevauchement des IoC entre les flux TI. Une couleur plus claire indique plus de chevauchements et une plus grande précision du flux. Dans l'ensemble, 75 % des flux TI ont montré un degré significatif de chevauchements.
Pour affiner davantage les flux de sécurité, nous avons constaté que compléter nos données de sécurité par des données de flux réseau peut considérablement améliorer la précision des flux. Dans le passé, tirer parti des données de flux réseau aurait été peu pratique pour de nombreuses organisations. Un investissement significatif aurait été nécessaire pour extraire les données d'événements des appareils de sécurité et de réseau, normaliser les données, stocker les données, puis disposer des outils de requête nécessaires pour interroger ce magasin de données.
Cependant, le passage aux solutions Secure Access Service Edge (SASE) converge le réseau et la sécurité ensemble. Les analystes de sécurité pourront désormais exploiter les données d'événements réseau précédemment indisponibles pour enrichir leur analyse de sécurité. Particulièrement utile dans ce domaine est la popularité d'un IoC donné parmi les utilisateurs réels.
D'après notre expérience, le trafic légitime aboutit massivement sur des domaines ou adresses IP fréquemment visités par les utilisateurs. Nous comprenons cela intuitivement. Les sites fréquemment visités par les utilisateurs fonctionnent généralement depuis un certain temps. (À moins que vous ne traitiez avec des environnements de recherche, qui mettent souvent en place de nouveaux serveurs.) En revanche, les attaquants instancient souvent de nouveaux serveurs et domaines pour éviter d'être catégorisés comme malveillants – et donc bloqués – par les filtres d'URL.
Ainsi, en déterminant la fréquence à laquelle les utilisateurs réels visitent les cibles IoC – ce que nous appelons le score de popularité – les analystes de sécurité peuvent identifier les cibles IoC susceptibles d'être des faux positifs. Moins de trafic utilisateur destiné à une cible IoC donne un score de popularité plus bas, et une probabilité plus grande que la cible soit probablement malveillante.
Chez Cato, nous dérivons le score de popularité en exécutant des algorithmes d'apprentissage automatique sur un entrepôt de données, construit à partir des métadonnées de chaque flux de tous les utilisateurs de nos clients. Vous pourriez faire quelque chose de similaire en puisant des informations réseau dans divers journaux et équipements de votre réseau.
Pour isoler les faux positifs trouvés dans les flux TI, nous avons évalué les flux de deux manières : "Score de Chevauchement" qui indique le nombre d'IoC qui se chevauchent entre les flux, et "Score de Popularité" Idéalement, nous aimerions que les flux TI aient un score de chevauchement élevé et un score de popularité faible. Les IoC réellement malveillants tendent à être identifiés par plusieurs services de renseignement sur les menaces et, comme indiqué, sont rarement accédés par des utilisateurs réels.
Cependant, ce que nous avons trouvé était exactement le contraire. Beaucoup de flux TI (30 pour cent) avaient des IoC avec des scores de chevauchement faibles et des scores de popularité élevés. Bloquer les IoC dans ces flux TI entraînerait des alertes de sécurité inutiles et frustrerait les utilisateurs.
Figure 2. En prenant en compte les informations réseau, nous pourrions éliminer les faux positifs habituellement trouvés dans les flux de renseignement sur les menaces. Dans cet exemple, nous voyons le score moyen de 30 flux de renseignement sur les menaces (noms supprimés). Ceux au-dessus de la ligne sont considérés comme précis. Le score est un rapport de la popularité du flux au nombre de chevauchements avec d'autres flux TI. Dans l'ensemble, 30 % des flux ont été trouvés contenant des faux positifs.
En utilisant les informations réseau, nous pourrions éliminer la plupart des faux positifs, ce qui est bénéfique pour l'organisation. Les résultats sont encore améliorés en réinjectant ces informations dans le processus de sécurité. Une fois qu'un actif est identifié comme compromis, le renseignement sur les menaces externe peut être enrichi automatiquement avec chaque communication que l'hôte crée, générant ainsi une intelligence nouvelle. Les domaines et IP que l'hôte infecté a contacté, et les fichiers téléchargés, peuvent être automatiquement marqués comme malveillants et ajoutés aux IoC entrant dans les dispositifs de sécurité pour une protection encore meilleure.
Cato étend de manière transparente les capacités internes de détection de menaces des clients pour surveiller en continu le réseau à la recherche de terminaux compromis et infectés par des malwares. Comme le trafic réseau passe par Cato, nous pouvons offrir une détection sans empreinte des menaces persistantes sans installer d'agents ou d'équipements pour gagner en visibilité du trafic.
Cato propose un service de détection et de réponse aux menaces géré (MDR) pour aider à détecter, enquêter et sécuriser votre réseau et vos appareils connectés. Cato MDR utilise une combinaison d'algorithmes d'apprentissage automatique qui exploitent le trafic réseau pour trouver des indicateurs de compromis, et une vérification humaine des anomalies détectées. Les experts de Cato guident ensuite les clients pour remédier aux terminaux compromis.
Pour plus d'informations sur le service MDR, cliquez ici.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.