Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Un modèle de cybersécurité progressif et basé sur les données voit le jour et accélère le délai de détection, ce qui permet de limiter le risque. 1 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Les utilisateurs malveillants n'attendront pas que votre logiciel de sécurité les débusquent ; des rapports relatifs au secteur indiquent que les attaques virtuelles peuvent passer inaperçues pendant près de 200 jours. Dans l'environnement de menaces actuel, les entreprises ont besoin de solutions de sécurité intelligentes qui évoluent constamment pour réagir face aux dernières menaces quand elles surviennent. Votre entreprise est-elle capable de détecter ce qu'il faut dans la jungle des données ? Poursuivez votre lecture pour découvrir comment un modèle de sécurité progressif peut vous aider à réduire le risque. 2 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées TABLE DES MATIÈRES 04 05 07 09 11 12 3 | 200 jours avant la détection ? Les rapports du secteur ne sont pas des plus rassurants Le seuil de 1 milliard de dollars : l’exposition aux risques est plus marquée que jamais Modus operandi : l’attaque avancée passe à l’action Anticipation : le choix d’un modèle de sécurité proactif Amélioration de la détection : l’importance d’un signal clair De mois en minutes : analyses appliquées et amélioration en continu Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées 200 jours avant la détection ? Les rapports du secteur ne sont pas des plus rassurants Dans le même temps, à quel point ce nombre assez arbitraire est-il précis et utile ? Les estimations varient, même au sein de la communauté Lorsque des professionnels de la sécurité détectent une violation, il est plus que probable que l'utilisateur malveillant est actif dans l'environnement de la victime depuis un certain temps déjà. Mais depuis combien de temps ? spécialisée dans la sécurité. Voici un bref aperçu montrant à quel point les approches des entreprises Pour de nombreuses personnes actives dans le secteur, 200 jours” est la durée moyenne. Mais cette « norme » pose également problème pour différentes raisons. D'une part, admettons-le : c'est très long. En d'autres termes, cela fait six mois et demi qu'un utilisateur malveillant sophistiqué, seul ou en groupe, est actif au cœur de vos systèmes. Au cours de cette période funeste, les données sensibles et les informations régies par la propriété intellectuelle de votre entreprise ont probablement été exposées, ce qui suggère une très forte probabilité de compromission. L'inquiétude ressentie au cours de ces 200 jours est un paramètre dont tiennent compte les responsables de la sécurité informatique, les agents de sûreté et même les PDG. À l'heure actuelle, les professionnels de la sécurité et le secteur des technologies dans son ensemble recherchent assidument de nouvelles mesures de sécurité plus avancées afin de limiter cette durée. D'un point de vue pratique, « 200 jours » n'est qu'un point de repère, un chiffre employé pour évaluer et aborder une progression sur l'ensemble du secteur. Les responsables de la sécurité informatique et les agents de sûreté savent que le nombre de jours n'est pas l'élément le plus important d'une violation. Ce qui nous préoccupe le plus, c'est qu'un seul et même jour après une violation est déjà trop long et qu'au moment de la découverte de celle-ci, il est déjà trop tard. Réduire cette durée à zéro jour est l'objectif ultime. Pour ce faire, les entreprises doivent adopter une approche plus intelligente pour détecter les menaces plus rapidement et inverser la tendance quant à l'émergence d'attaques virtuelles sophistiquées. Ce livre électronique est conçu pour donner aux lecteurs un aperçu de la manière dont les menaces avancées procèdent pour compromettre vos informations sensibles et de la façon dont l'efficacité du cloud, associée à la science des données et à l'expertise de spécialistes, peut réduire le temps nécessaire pour que votre entreprise détecte une attaque. par rapport au problème divergent : 146 jours : rapport M-Trends (2016), Mandiant, a FireEye Company 229 jours : page sur l'approche actuelle de Lockheed Martin en matière de contrôle des menaces avancées 200 jours : page sur l'approche de Microsoft en matière d'analyse des menaces avancées Le nombre de menaces est-il toujours en hausse ? Le Rapport d'enquête sur l'atteinte à la sécurité des données le plus récent de Verizon ne mentionne pas de chiffres, mais précise que le déficit s'est précisé au cours de l'année dernière, avec une légère amélioration en 2014. 4 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Le seuil de 1 milliard de dollars : l'exposition aux risques est plus marquée que jamais Qu'il s'agisse d'une petite entreprise ou d'un grand groupe, les utilisateurs malveillants qui effectuent des attaques avancées sont une problématique constante qui va bien au-delà des coûts initiaux relatifs à une violation. Les utilisateurs malveillants hautement qualifiés et équipés perpètrent de telles actions dans un but de vol, d'espionnage industriel, voire d'attaque globalisée à l'échelle d'un État. Cela implique en premier lieu des problèmes financiers. À l'heure actuelle, de nombreux utilisateurs malveillants qui perpètrent des attaques avancées cherchent à tirer profit de leurs exactions. Il ne fait aucun doute que, par la suite, les dégâts ne feront qu'augmenter. En 2015, un nouveau seuil a été atteint lorsqu'une salve d'attaques sophistiquées ont percé les défenses de plus de 100 banques réparties dans 30 pays, avec des pertes estimées à plus d'1 milliard de dollars.. Du fait du risque élevé, les polices d'assurance contre les risques virtuels représentent désormais une nouvelle dépense pour de nombreuses entreprises, avec des primes qui devraient tripler d'ici 2020, pour atteindre un montant total de 7,5 milliards de dollars. 5 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Plus de 200 Le nombre de jours moyen au cours desquels les utilisateurs malveillants restent sur un réseau avant d'être détectés. 76 % Le coût estimé de la cybercriminalité pour l'économie mondiale pourrait atteindre : Les identifiants compromis représentent plus de 76 % des moyens d'intrusion sur un réseau. 500 milliards de dollars Il ne faudrait pas non plus oublier les dommages plus difficilement quantifiables et potentiellement plus onéreux que les attaques virtuelles occasionnent, tels que la mise à mal de l'image de marque, la méfiance des clients, la stagnation de la croissance et Le coût moyen d'une atteinte à la sécurité des données pour une entreprise : 3,5 millions de dollars la compromission des relations diplomatiques. Bien qu'ils n'occasionnent pas forcément des pertes financières, ces dommages peuvent entraîner des conséquences négatives de longue durée pour une entreprise, ce qui met à mal la fidélité des clients, alimente un sentiment de scepticisme et pointe du doigt les responsables de la sécurité qui doivent répondre des défaillances. D'autres attaques sont perpétrées pour obtenir des informations sensibles et non dans un but financier. Un exemple : STRONTIUM. STRONTIUM est un groupe actif bien connu dont les cibles sont notamment les organes gouvernementaux, les institutions diplomatiques, les journalistes et les forces armées. Les malfaiteurs ne demandent pas d'argent et ne visent pas une cible d'une importance particulière. Ils cherchent à obtenir les données les plus sensibles possible. De même, l'attaque Red October, démasquée en 2013, avait pour objectif d'infiltrer des institutions gouvernementales et diplomatiques pendant au moins cinq ans. Une PME sur cinq est la cible d'attaques virtuelles. Bien que ce procédé semble sortir tout droit d'une fiction d'espionnage, il s'agit d'un réel problème. Les coûts « invisibles » relatifs à des violations de sécurité sont un sujet qui aurait pu être exploité par un auteur de romans de sciencefiction il y a vingt ans. Avec autant d'enjeux, il ne fait aucun doute que les budgets augmentent et que les sociétés recherchent de nouvelles solutions pour répondre au problème grandissant des attaques virtuelles avancées. Les conséquences de la perte de productivité et de croissance imputable à la cybercriminalité sont estimées à : -Ponemon Institute 6 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées 3 000 milliards de dollars Modus operandi : l'attaque avancée passe à l'action Que fait une attaque avancée pendant les 200 jours qui suivent son intrusion sur votre réseau ? Les utilisateurs malveillants actuels ont recours à un ensemble de méthodes et utilisent des techniques innovantes et traditionnelles pour développer de nouveaux stratagèmes d'intrusion touchant tant des individus que des technologies. Plus une attaque reste longtemps sans être détectée sur votre système, plus elle peut glaner des informations, ce qui souligne l'importance d'une détection anticipée. Près de 80 % des attaques commencent par une tromperie classique : une attaque de hameçonnage avec des ruses attrayantes amenant les utilisateurs à compromettre leurs informations. Toutefois, le fournisseur de solutions de sécurité McAfee a récemment signalé une augmentation du nombre d'attaques sophistiquées, y compris de nouvelles attaques liées à l'intégrité qui modifient les processus internes et réoriente les données qui parcourent le réseau. (Il s'agissait de la technique utilisée lors de l'attaque contre les banques, dont les dommages ont été chiffrés à 1 milliard de dollars.) 7 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Les utilisateurs malveillants continuent de faire évoluer leurs techniques avec de nouvelles formes de programmes malveillants qui échappent mieux à la détection ou s'effacent eux-mêmes. Les vecteurs d'attaque ont également évolué : non contents de cibler uniquement les PC et serveurs des sièges sociaux d'entreprises, les utilisateurs malveillants cherchent à compromettre les bureaux satellites, les ordinateurs personnels d'employés, voire les logiciels de téléphones mobiles, les appareils portables et les véhicules. Understanding the Cyber Kill Chain® Les violations impliquent généralement six phases, appelées Cyber Kill Chain® par la communauté spécialisée dans les renseignements de sécurité (une phrase déposée par Lockheed Martin). Ces phases peuvent se succéder, se présenter en parallèle ou dans un ordre complètement différent, et chacune offre également une opportunité pour obtenir des renseignements pour venir à bout d'utilisateurs malveillants : Reconnaissance Exploitation L'utilisateur malveillant analyse sa cible. Cela peut impliquer Le code compromet le système. Parfois, le code fourni des procédures techniques ou simplement la navigation commence immédiatement à exécuter les tâches de sur le site web de votre société. Ces manœuvres passent l'utilisateur malveillant. À d'autres moments, l'attaque passe souvent inaperçues, mais leur objectif consiste à coordonner par plusieurs phases, comme lorsque le package initial des comportements bénins en apparence qui peuvent être commence à télécharger de l'autre code, s'exposant ainsi considérés comme les prémices d'une attaque. à des alertes réseau. Renforcement Commande et contrôle (C2) L'utilisateur malveillant crée une protection pour dissimuler L'utilisateur malveillant et le code collaborent pour attaquer toute charge malveillante. Il n'est pas toujours possible le système. Il peut ainsi s'agir de mouvements latéraux de détecter l'arsenal spécifique d'une attaque, mais une conçus pour acquérir des identifiants à valeur élevée ou fois découverte et décortiquée, cette tentative permet d'une exploration directe du réseau pour trouver les sources une meilleure anticipation à l'avenir. de données ciblées. Mise à disposition Actions intentionnelles L'utilisateur malveillant infecte le système grâce à du code Subtilisation de données sensibles. À ce stade, l'attaque malveillant ou incite un utilisateur à le télécharger. Il s'agit de semble fructueuse. Qu'il s'agisse d'informations financières la phase critique au cours de laquelle l'utilisateur malveillant relatives aux clients, de documents top secret ou de projets s'introduit dans le système et commence à nuire. pour votre produit nouvelle génération, l'utilisateur malveillant s'en est emparé. 8 | |Sécurité Sécurité intelligente : intelligente : utiliser utiliser l'apprentissage l'apprentissage automatique automatique pour pour détecter détecter desdes attaques attaques virtuelles virtuelles avancées avancées Source : Lockheed Martin Anticipation : le choix d'un modèle de sécurité proactif En raison de la discrétion dont font preuve les utilisateurs malveillants, les entreprises doivent opter pour un modèle de sécurité proactif qui se concentre sur l'amélioration de leur capacité à détecter ces utilisateurs et à bloquer leurs tentatives. Bien que le modèle traditionnel de sécurité en entreprise ait débuté par la protection du périmètre réseau, les experts suggèrent désormais d'adopter une approche plus proactive qui commence par la détection, rendue possible par une solide analyse de la sécurité. Selon ce modèle, tout part de là en faveur d'une amélioration constante, étant donné que les défenses avant que la violation ne survienne sont régulièrement optimisées grâce à de nouveaux renseignements issus de la détection et de la réaction post-violation. Détecter En se concentrant sur la détection basée sur les analyses, les entreprises sont plus à même de se défendre contre les attaques avancées et leurs tactiques en pleine évolution. Réagir Plutôt que de se contenter de résoudre une vulnérabilité, la phase de réaction devient une véritable source de nouveaux renseignements. Protéger 9 | Les données obtenues lors de phases de détection et de réaction sont utilisées pour améliorer continuellement les technologies de défense avant toute violation. Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Au cours des dernières années, les responsables de la sécurité informatique et les agents de sûreté ont travaillé pour adopter cette approche en intégrant des mesures exploitant des renseignements de sécurité qui utilisent des données et des analyses afin de détecter rapidement la prochaine attaque et d'améliorer les défenses de manière générale. Cette démarche inclut notamment les étapes suivantes : • Investissement dans des logiciels de sécurité et du matériel sécurisé avancés. • Inscription à des flux (souvent nombreux) de renseignements sur les menaces. • Formation des collaborateurs sur les impératifs et risques en matière de sécurité. • • Déploiement d'une solution SIEM (Security Intelligence Event Management). Développement de processus pour mettre en corrélation les données relatives aux menaces et recours à des spécialistes des données pour les analyser. Jusqu'à présent, ces outils et processus se composaient des réactions d'acteurs du secteur à des attaques avancées. Par ailleurs, comme pour des nombreux efforts anticipés dans le secteur des technologies, ces démarches ont enregistré des résultats mitigés. Mais elles ne sont pas pour autant inefficaces. Le rapport M-Trends 2016 de Mandiant indique que lorsque les sociétés parviennent à détecter des violations à l'aide de leurs propres systèmes, la durée de persistance d'un programme malveillant dans un environnement est fortement réduite. Toutefois, il y a également des opinions négatives, notamment relatives aux dépenses, à l'intégration fastidieuse et au processus manuel inefficace de mise en corrélation des données sur les menaces et d'ajout de celles-ci au système. Par ailleurs, lorsque tout est en place pour votre solution SIEM, un autre problème se présente : l'encombrement. Le nombre d'alertes et le volume de données pour les entreprises les plus avancées sont bien trop élevés pour pouvoir les exploiter valablement. 10 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Si l'objectif de l'ensemble de ces efforts consiste à réduire cette période de 200 jours pour se rapprocher d'une détection en temps réel, l'encombrement est hélas devenu un obstacle majeur et un facteur qui fait de la détection un fardeau (onéreux). Pour rester au courant des attaques avancées, les entreprises doivent continuer d'investir dans leurs initiatives SIEM et les processus associés. Seul le cloud peut assurer la protection, la détection et la résolution nouvelle génération dont les entreprises ont besoin aujourd'hui, y compris les mécanismes d'alerte intégrés aux capteurs de plateforme, dans un but d'amélioration perpétuel visant à optimiser les protections grâce à des renseignements concrets en matière de sécurité. Amélioration de la détection : l'importance d'un signal clair En réduisant le temps nécessaire pour détecter une attaque, les entreprises sont confrontées à un dilemme contradictoire : devoir traiter trop de données relatives à la sécurité tout en ne disposant pas de suffisamment d'informations pour distinguer le signal du bruit et comprendre rapidement un incident. Il ne s'agit pas ici d'accumuler simplement du volume, mais également de séparer les données. De nombreux signaux d'attaque semblent anodins en eux-mêmes ou sont catégorisés selon le secteur, la distance et les calendriers. Sans renseignements clairs issus de l'ensemble des données, une détection prématurée devient un jeu de hasard. Même les entreprises les plus étendues sont confrontées aux limitations suivantes : • Les renseignements sur les menaces réelles nécessitent plus de données que celles que la plupart des entreprises peuvent elles-mêmes acquérir. • Dégager des modèles et adopter une approche plus avisée vis-à-vis de cet énorme ensemble de données nécessite des techniques avancées, telles que l'apprentissage automatique, en plus de l'efficacité informatique. • En fin de compte, l'application de nouveaux renseignements en faveur de l'amélioration continuelle des mesures et technologies de sécurité nécessite l'intervention d'experts en chair et en os qui comprennent le langage des données et prennent des décisions. C'est précisément à ce niveau que Microsoft veut inverser la tendance. Du fait des diverses activités de Microsoft, les données relatives aux menaces et aux activités de la société sont issues de tous les niveaux du processus de développement technologique, de chaque secteur vertical et dans le monde entier. Les produits de sécurité et les technologies cloud de Microsoft sont conçus pour être compatibles et signaler des données relatives aux menaces dès que des problèmes se présentent. Nous obtenons ainsi des données de « boîte noire » qui nous permettent de diagnostiquer des attaques, de décortiquer des techniques de menaces avancées et d'appliquer ces renseignements sur l'ensemble de la plateforme. Les renseignements de Microsoft sur les menaces couvrent plusieurs milliards de points de données : 35 milliards de messages analysés mensuellement 600 000 adresses électroniques indésirables suivies 250 millions d'utilisateurs mondiaux de Windows Defender 600 millions d'ordinateurs émettant des rapports mensuels Plus de 8,5 milliards d'analyses de pages web Bing par mois 1 milliard d'utilisateurs sur l'ensemble des segments professionnels et privés Plus de 200 Services cloud 11 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Source : Rapport des renseignements de sécurité de Microsoft De mois en minutes : analyses appliquées et amélioration en continu Depuis près de 20 ans, Microsoft transforme les menaces en renseignements utiles qui permettent de fortifier sa plateforme et de protéger ses clients. Du programme SDL (Security Development Lifecycle) né à la suite des premières attaques de vers, tels que Blaster, Code Red et Slammer aux nouveaux services de sécurité intégrés aux plateformes et services, l'entreprise n'a pas cessé de développer des processus, technologies et méthodes pour détecter des menaces en pleine évolution et y répondre, tout en protégeant les données et utilisateurs. De nos jours, grâce aux avantages énormes que permet le cloud, la société cherche de nouvelles possibilités pour utiliser ses moteurs analytiques enrichis alimentés par les renseignements sur les menaces afin de protéger ses clients. En appliquant une association de processus automatisés et manuels, associés à l'apprentissage automatique et au travail d'experts en chair et en os, nous sommes en mesure de créer un graphique de sécurité intelligent qui apprend par lui-même et qui évolue en temps réel, ce qui permet de réduire le temps consacré à la détection de nouveaux incidents touchant nos produits et à la réaction face à de tels défis. Sécurité intelligente Grâce à ce graphique de sécurité intelligent, Microsoft crée le mécanisme le plus complet et le plus flexible du secteur afin de partager les renseignements sur les menaces, d'appliquer des analyses et d'améliorer la détection pour l'ensemble de ses produits et services, et ce immédiatement, et non en 200 jours. Comptes Microsoft Operations Management Suite (CMS) Azure Security Center (ASC) Advanced Threat Analytics (ATA) Solution antiprogrammes malveillants Windows Defender Azure Active Directory Windows Defender Advanced Threat Protection (ATP) Microsoft Cloud Application Security (MCAS) Office 365 Advanced Security Management (ASM) Exchange Online Protection (EOP) API Interflow et service d'attribution des menaces (Interface, informations, menace, intel, big data, plateforme et rapports d’attribution) Analyse (Apprentissage automatique, Detonation Service, suivi comportemental, heuristique) Rassemblement et normalisation des données (Flux de données depuis les produits) Confidentialité/Limites en matière de conformité Microsoft System Center Microsoft Security Essentials 12 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Microsoft Azure Outil de suppression de programmes malveillants Humains Apprenez-en plus sur les renseignements en matière de sécurité chez Microsoft Comme le paysage des menaces en lui-même, l'approche de Microsoft en matière de renseignements sur la sécurité évolue en continu. Les clients peuvent en savoir plus et rester au fait des derniers développements via différentes ressources : Le blog de Microsoft sur la sécurité Azure Active Directory Identity Protection Les experts Microsoft qui se penchent sur le paysage des menaces en perpétuelle évolution communiquent leur opinion sur la manière dont Microsoft et le secteur dans son ensemble procèdent pour garder une longueur d'avance. Azure AD Identity Protection est un produit qui est continuellement mis à jour avec les derniers renseignements en matière de sécurité. Les utilisateurs sont invités à accéder à l'évaluation publique afin de voir par eux-mêmes comment les données sont employées pour veiller à ce que les protocoles de sécurité soient à jour. 13 | Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées Le Rapport des renseignements de sécurité de Microsoft Deux fois par an, Microsoft publie un rapport approfondi sur les tendances et les données sous-jacentes en matière de sécurité. Les utilisateurs sont invités à utiliser le rapport pour prioriser et cibler les efforts liés à la sécurité. 14 | ©2016 Microsoft Corporation. Tous droits réservés. Le présent document est fourni en l'état. Les informations et les points de vue exprimés dans le présent document, y compris les URL et autres références à des sites web, sont susceptibles de changer sans préavis. Vous assumez les risques associés à leur utilisation. Le présent document ne vous donne pas les droits juridiques propres à la propriété intellectuelle de tout produit Microsoft. Vous pouvez photocopier et utiliser ce document à titre de référence interne. Sécurité intelligente : utiliser l'apprentissage automatique pour détecter des attaques virtuelles avancées