Au-delà des signatures : la modernisation des SecOps
La détection comportementale basée sur l’IA au service de l’anticipation des attaques avancées
Seuls, les modèles de cybersécurité classiques ne peuvent rivaliser avec le volume, la variété et la vitesse des menaces auxquelles les organisations sont confrontées aujourd’hui. Les équipes de sécurité qui s’appuient sur des modèles réactifs traditionnels continueront de subir le rythme imposé par les adversaires qui utilisent un éventail croissant d’outils avancés et de capacités d’IA, facilement disponibles, pour lancer des attaques et échapper à la détection.
Les équipes modernes d’opérations de sécurité doivent opérer au sein d’un nouveau modèle de cybersécurité capable de détecter et de répondre rapidement à un volume croissant d’attaques indiscriminées. Elles doivent également être en mesure de s’orienter rapidement et de se défendre contre des attaques sophistiquées et ciblées, menées par des acteurs malveillants coordonnés aux objectifs précis et mûrement étudiés.
Les organisations peuvent désormais compléter leurs processus et outils SecOps existants avec des capacités d’analyse et de détection des anomalies comportementales qui étaient auparavant trop coûteuses et chronophages, et nécessitaient une main-d’œuvre importante. En identifiant les activités qui s’écartent des schémas normaux établis, l’analyse comportementale, associée aux techniques d’orientation contextuelle, aide les entreprises à détecter les menaces, à y répondre et à enquêter à leur sujet avant qu’elles ne causent des dommages.
Qu’est-ce qui différencie la détection comportementale des anomalies ?
L’analyse comportementale n’est pas une nouveauté. La mise en œuvre de solutions ponctuelles pour l’analyse du comportement d’un système unique et de cas d’utilisation isolés, comme la classification des e-mails de phishing, constitue depuis longtemps une stratégie de cybersécurité courante connue pour son efficacité. Cependant, jusqu’à récemment, les coûts et les besoins en ressources liés à la mise en œuvre de l’analyse comportementale à grande échelle étaient trop importants pour la plupart des organisations.
Cette barrière s’est considérablement réduite avec la disponibilité croissante de l’IA et des techniques d’apprentissage automatique (ML). Les entreprises peuvent désormais utiliser des outils basés sur l’IA et le ML pour analyser et classer d’importants volumes de données, parmi lesquels les journaux d’activité, les données d’utilisation des applications et le trafic réseau, provenant de divers systèmes et environnements. Elles peuvent établir une base de référence de l’« activité normale », puis surveiller en continu les nouvelles données pour détecter les écarts par rapport à cette base de référence.
Traditionnellement, les équipes chargées des opérations de cybersécurité s’appuient sur des outils basés sur des signatures et des règles qui utilisent des schémas d’attaque déjà observés. Elles recherchent des preuves d’activité malveillante dans les analyses des données d’événements en direct et des données de journaux historiques collectées lors d’enquêtes postérieures à des violations. Cependant, la nature complexe et multivectorielle des attaques modernes et les procédures opérationnelles des adversaires sophistiqués rendent les techniques statiques de détection et d’atténuation presque obsolètes.
L’analyse comportementale est une alternative importante aux approches traditionnelles. Déployée parallèlement aux fonctionnalités établies, telles que la gestion de la sécurité et des informations (SIEM) et la détection et la réponse étendues (XDR), cette approche permet une détection et une atténuation efficaces et rapides des menaces modernes et traditionnelles visant l’infrastructure d’entreprise et les actifs de l’entreprise.
L’analyse comportementale consiste à identifier des schémas nouveaux et inhabituels dans le comportement des réseaux, des systèmes, des agents et des utilisateurs. Elle ne s’appuie pas sur des schémas de comportement ou des indicateurs d’attaque observés et enregistrés auparavant. En d’autres termes, la détection comportementale est conçue pour détecter les menaces nouvelles et inédites plutôt que les artefacts d’attaque, ce qui aide les équipes de sécurité à passer d’une réponse aux conséquences des cyberattaques à leur prévention et à leur anticipation.
Méthodes basées sur les signatures versus analyse comportementale
Les outils basés sur les signatures ou sur règles…
Recherchent les menaces connues (schémas, adresses IP/domaines malveillants, comportements de logiciels malveillants)
Sont de nature réactive (identifiant principalement les attaques après la compromission)
Risquent de passer à côté des menaces internes, des attaques zero-day et d’autres menaces modernes
L’analyse comportementale…
Recherche des anomalies et exceptions dans le comportement type (activité anormale du système, de l’agent, de l’utilisateur et du réseau)
Est conçue pour être proactive, détectant les attaques possibles avant ou peu après leur survenue
Est abordable, accessible et évolutive grâce aux progrès de l’IA
Avantages par rapport aux autres approches de détection comportementale
Les organisations qui adoptent l’analyse comportementale comme stratégie de sécurité fondamentale bénéficient des trois avantages par rapport aux approches précédentes :
1. Renforcement de la détection traditionnelle basée sur les signatures.
Les approches d’observabilité basées sur les signatures et les modèles sont réactives. Les organisations qui y recourent sont limitées à l’identification des profils d’attaque une fois qu’ils ont été découverts et analysés par d’autres, sous forme de signatures ou d’indicateurs de compromission (IOC).
En revanche, l’analyse comportementale, elle, est proactive. Elle recherche les activités inhabituelles à leurs débuts, en trouvant des indicateurs d’attaque (IOA), tels que les tentatives de phishing, l’activité réseau suspecte ou les interactions utilisateur inhabituelles avec les systèmes et les services. Cette détection précoce basée sur les anomalies permet aux équipes de cybersécurité de prendre l’avantage sur les adversaires et d’empêcher les tentatives de compromission avant qu’elles ne provoquent des dommages.
2. Écosystème de défense holistique et abordable.
Les outils traditionnels ciblent un périmètre limité (comme le système, l’utilisateur ou le réseau) et n’intègrent pas le contexte. L’analyse comportementale, quant à elle, intègre des données provenant de plusieurs sources afin de fournir une analyse riche en contexte. Les informations contextuelles internes et externes contribuent à garantir que tous les comportements inhabituels ne sont pas signalés comme malveillants. Les outils d’analyse comportementale peuvent déterminer, avec des degrés de probabilité spécifiés, si une activité est malveillante ou bénigne une fois qu’un modèle a été entraîné sur un système ou un réseau.
Le déploiement de ce type d’analyse contextuelle se révélait coûteux jusque-là. Le processus nécessitait une puissance de calcul importante et des flux de travail à forte main-d’œuvre pour stocker, traiter et interroger de grands volumes d’ensembles de données disparates. Les avancées en matière d’ingénierie des données et de corrélation d’événements basées sur l’IA ont rendu l’analyse contextuelle beaucoup plus abordable que les approches précédentes d’analyse pilotées par l’humain.
3. Adaptabilité supérieure aux menaces et flux de travail modernes.
Les modèles d’analyse comportementale apprennent continuellement et s’adaptent aux nouvelles menaces et aux nouveaux flux de travail. Par exemple, supposons que vous déployiez un agent d’IA. Au fil du temps, le modèle apprendra les comportements autonomes de cet agent et les définira comme étant normaux. Si l’agent d’IA est compromis ou s’écarte des schémas établis d’activité autorisée, le modèle détectera ce comportement anormal et, le cas échéant, suspendra l’agent ou limitera les actions qu’il peut effectuer sans intervention humaine.
La détection comportementale tient également compte des nouvelles pratiques professionnelles. Par exemple, vous pouvez étendre votre entreprise à l’échelle mondiale et créer de nouvelles filiales dans d’autres pays. Après une période d’optimisation initiale, le modèle apprendra que les connexions à distance depuis ces emplacements à certains moments de la journée ne sont pas de nature frauduleuse, mais reflètent bien un nouveau schéma normal.
Stratégies d’analyse comportementale des anomalies
De nombreuses organisations intègrent déjà certaines fonctionnalités d’analyse comportementale à leurs plateformes de points de terminaison, de sécurité ou d’identité. Cependant, certaines équipes ne savent pas comment tirer le meilleur parti de ces fonctionnalités distribuées, et la lassitude liée à la sécurité peut entraîner des négligences. Les meilleures pratiques suivantes peuvent aider votre équipe à mettre en œuvre et à exploiter efficacement la détection comportementale.
1. Définir la portée et l’intégration.
Que vous envisagiez de tirer davantage de valeur des fonctionnalités existantes et des données générées par vos environnements ou que vous considériez une nouvelle solution, commencez par identifier les cas d’utilisation potentiels. Par exemple, vous pourriez vouloir vous concentrer sur l’identification des menaces internes potentielles, la découverte des mouvements latéraux ou les tentatives d’exfiltration de données. Vous pourriez même définir vos cas d’utilisation de manière plus précise. Par exemple, vous pourriez souhaiter détecter les « déplacements impossibles », lorsqu’un utilisateur semble se connecter au réseau depuis deux emplacements distants dans un laps de temps anormalement court. Ou vous pourriez vouloir arrêter les violations répétées de la prévention des pertes de données (DLP), lorsque des employés déplacent ou partagent des informations confidentielles d’une manière qui enfreint les politiques de sécurité internes.
2. Entraîner et optimiser les modèles.
L’analyse comportementale peut être automatisée et orchestrée sur plusieurs systèmes et points d’application de la sécurité. Accordez la priorité à l’entraînement et à l’optimisation des modèles d’IA et des intégrations qui permettent cette automatisation. L’entraînement initial aide le modèle à comprendre ce qui est considéré comme « normal ». L’optimisation et le réentraînement continus vous aident à suivre l’évolution comportementale des menaces.
Vous pouvez faciliter et accélérer le processus d’entraînement en injectant intentionnellement des modèles d’attaque malveillants au lieu d’attendre qu’un comportement malveillant se produise. Au fil du temps, les modèles s’appuieront sur les comportements appris et attribueront des scores de confiance à leurs prédictions d’anomalies malveillantes ou bénignes.
3. Tirer parti de l’IA pour une défense avancée.
Par le passé, l’analyse comportementale s’apppuyait sur divers algorithmes d’apprentissage automatique pour évaluer et faire ressortir les anomalies. L’utilisation de l’IA agentique et de modèles d’IA générative (GenAI) optimisés et augmentés localement peut contribuer à rationaliser davantage la détection des anomalies au sein d’un environnement protégé. Grâce à ces fonctionnalités plus avancées, les solutions d’analyse comportementale réduisent la charge de travail des analystes, mettent en correspondance les anomalies et les bases de connaissances plus vastes, et automatisent les défenses de nouvelle génération, notamment la possibilité d’appliquer des modifications de contrôle en amont, de mettre en quarantaine les hôtes et de suspendre les comptes d’utilisateurs.
4. Être attentif à l’interopérabilité.
Choisissez une solution d’analyse comportementale qui s’intègre à vos outils existants. Sinon, vous risquez de consacrer trop de temps et d’argent à remplacer des solutions que vous possédez déjà. Par exemple, une solution d’analyse comportementale doit s’intégrer et compléter les fonctionnalités existantes de détection et de réponse, notamment les outils SIEM. Les outils SIEM traditionnels analysent les événements en temps réel en corrélant les données issues de plusieurs sources afin de déterminer et de faire apparaître des schémas d’attaque prédéterminés. Les systèmes SIEM modernes, quant à eux, incluent des aspects d’analyse comportementale pour évaluer le comportement des utilisateurs et des appareils au fil du temps, affinant en permanence un modèle de référence interne des IOA.
5. Anticiper les faux positifs.
Toutes les anomalies ne sont pas forcément malveillantes. Comme pour de nombreuses approches basées sur l’IA, il existe un risque de faux positifs, mais aussi de faux négatifs. La minimisation des comportements mal classifiés peut nécessiter une forme d’intervention humaine, y compris une collaboration en boucle. Vous devrez notamment optimiser les modèles pour réduire le bruit et améliorer la classification du comportement. Vous pouvez également implémenter des sources intelligentes de corrélation et d’enrichissement spécifiques à l’environnement protégé et au modèle opérationnel de votre entreprise, afin d’ajouter un contexte supplémentaire à la détection de comportements malveillants et atypiques.
Gardez également à l’esprit que les modèles ont besoin de temps pour se stabiliser et s’adapter, et qu’une supervision humaine est nécessaire pour les cas complexes. La réussite ne repose pas uniquement sur la technologie, mais également sur des équipes qualifiées qui opèrent à l’aide de processus bien définis afin d’interpréter et d’exploiter les informations de détection.
6. Définir les indicateurs de succès.
Établissez des indicateurs clés de performance (KPI) afin de mesurer la valeur des investissements dans l’analyse comportementale au fil du temps. Par exemple, vous pourriez mesurer le temps nécessaire pour détecter les tentatives d’accès initial, ou encore la prédiction des techniques d’intervention optimales contre les attaques. D’autres indicateurs clés de performance (KPI) peuvent mesurer la réduction du temps de présence des attaquants ou évaluer l’impact potentiel d’une attaque atténuée si elle avait réussi.
Utilisez-vous la bonne stratégie de détection des anomalies ?
Les défenses traditionnelles basées sur les signatures et les règles seules sont insuffisantes pour se défendre contre les menaces de sécurité en évolution rapide et les adversaires déterminés. L’intégration de la détection comportementale des anomalies à votre stratégie SecOps peut vous aider à adopter une approche plus proactive en matière de cyberdéfense holistique, en repérant les menaces potentielles avant qu’elles ne causent des dommages.
Cloudflare utilise diverses techniques de ML et d’IA pour exploiter un cloud de connectivité mondial et fournir des services de pointe aux organisations. L’analyse comportementale des utilisateurs et des entités (UEBA) fait partie de l’offre Unified Risk Posture, une suite de fonctionnalités qui regroupe, sur une plateforme unique, des services de sécurité en périphérie (Secure Service Edge, ou SSE) et des solutions de sécurité des applications Web et des API. L’intégration de fonctionnalités de détection comportementale et d’évaluation des risques au sein d’une plateforme SSE ou SASE (Secure Access Service Edge, services d’accès sécurisés en périphérie) vous permet d’exploiter tout le potentiel qu’elles offrent, tout en simplifiant la gestion et en améliorant l’efficacité opérationnelle.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Découvrez des stratégies pour garder une longueur d’avance sur les dernières menaces et protéger les implémentations de l’IA en parcourant l’e-book Moderniser la sécurité à l’ère de l’IA.
Auteur
James Todd – @jamesctodd
Directeur technique sur site (Field CTO), Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Pourquoi les outils de cybersécurité traditionnels et réactifs ne suffisent plus
Comment l’analyse comportementale améliore la détection basée sur les signatures
Six meilleures pratiques pour la mise en œuvre de l’analyse comportementale