La détection des anomalies peut être puissante pour repérer les cyber-incidents, mais les experts affirment que les CISO devraient équilibrer la détection traditionnelle basée sur la signature avec plus de méthodes sur mesure qui peuvent identifier l’activité malveillante basée sur des signaux aberrants.
La détection des anomalies est un processus analytique pour identifier les points de données ou les événements qui s’écartent considérablement des modèles de comportement établis. En cybersécurité, la détection des anomalies est l’une des principales compétences défensives, les organisations de compétences devraient envisager du réglage fin pour s’assurer qu’ils peuvent détecter et remédier rapidement les cyber-événements défavorables avant de prendre racine et de proliférer.
Le concept de détection des anomalies en cybersécurité a été introduit par le mathématicien Dorothy Denning – qui a également lancé l’idée de réseaux de chiffrement – dans un article monument de 1987 intitulé «Un modèle d’intrusion-détection». Depuis lors, les praticiens de l’INFOSEC et les fournisseurs de cybersécurité ont incorporé les concepts de Denning dans leurs techniques, pratiques et produits de défense.
Le défi pour les CISO est désormais de savoir et de comprendre où les événements indésirables sont déjà détectés dans leur mélange existant de produits des fournisseurs de sécurité. Ensuite, le cas échéant, les CISO devraient envisager d’élever leur jeu de détection d’anomalies pour donner à leurs équipes de sécurité encore plus grande pour détecter les tendances troublantes, tout en les protégeant de la fatigue alerte.
Que sont les anomalies?
Les anomalies sont des écarts par rapport aux comportements ou événements de routine dans un système ou un réseau, comme un pic soudain du trafic, une activité élevée sur un serveur lorsque ce serveur doit être inactif ou une augmentation du trafic à partir d’adresses IP non typiques d’un atout particulier. L’identification rapide des événements aberrantes peut aider les cyber-équipes à glaner les premiers signaux d’une attaque potentielle qui se déroule.
Le rôle des outils de cybersécurité dans la détection des anomalies
Bien que fondé sur des concepts mathématiques avancés, la détection des anomalies ou comme le cadre de la cybersécurité NIST 2.0 l’appelle, «Analyse des événements indésirables», a été incorporé au cours des deux dernières décennies dans un large éventail d’outils de cybersécurité, notamment la détection et la réponse (EDR) (EDR) , pare-feu, outils d’information de sécurité et de gestion d’événements (SIEM).
«En général, vous pouvez diviser l’univers de détection en deux moitiés», explique Potter. «L’un est de trouver des méchants connus, puis on trouve des choses qui pourraient être mauvaises. Les méchants connus sont généralement comme une base de signature où je sais très spécifiquement si je vois ce fichier ou que cette chose exacte s’est produite sur le système, c’est mauvais. » Les méchants connus sont généralement signalés par des outils fondamentaux de cybersécurité.
Potter souligne que les systèmes EDR captent la plupart, sinon tous, les mauvaises anomalies connues aux points de terminaison. «La plupart des organisations, pour être francs, ont résolu le problème de sécurité des points finaux», dit-il. «Si vous êtes raisonnablement compétent, vous avez un EDR. Si quelque chose passe par l’un d’eux, c’est juste une sorte de coup de chance. »
Andrew Krug, responsable du plaidoyer de sécurité chez Datadog, distingue SIEM en tant que principaux moyens des équipes de sécurité pour détecter aujourd’hui un comportement anormal dans leur infrastructure. « Si vous n’avez pas d’installation comme celle-ci, vous n’avez aucun moyen de savoir que quelque chose ne va pas », dit-il.
La fatigue alerte pose un défi important
Peu importe à quel point l’idée de détecter les anomalies est conceptuellement élégante, «la réalité est qu’elle a tendance à être très élevée à la fois dans les faux positifs et les faux négatifs, et vous passez du temps à chasser votre queue sur des choses qui ne sont pas mauvaises, puis les choses qui sont Bad vole sous le radar, et vous les manquez totalement », explique le Potter de Turngate.
Pour éviter cela, le personnel du Centre des opérations de sécurité (SOC) peut définir des critères pour minimiser les faux rapports, « ce qui signifie que vous êtes généralement plus susceptible de détecter de vraies anomalies bizarres, mais vous allez manquer des attaques furtives », dit Brumley de ForallSecure.
D’un autre côté, permettre aux rapports de voler gratuitement sans filtres peut épuiser des travailleurs. « L’une des choses dont nous parlons beaucoup en ce qui concerne les systèmes alertes est la fatigue alerte », explique Krug de Datadog. « Si le SIEM génère trop d’alertes et que les gens coulent constamment des alertes à faible valeur, des enquêtes en rotation, ils n’apprécieront pas de travailler avec ce produit. »
Le personnel SOC qui travaille avec des alertes a «l’un des emplois les plus difficiles de la cybersécurité», ajoute Krug. «Il a, je pense, le mandat le plus court de tous les rôles. Les gens ne survivent pas longtemps dans le SOC parce qu’ils sont enterrés dans des alertes. Leur qualité de vie n’est pas élevée. Donner à ces personnes la capacité de dire: «Cette alerte ne fonctionne pas pour moi» et les faire participer au réglage est une partie massive de la construction d’une stratégie de détection efficace. »
Comment les cisos peuvent améliorer leur jeu de détection
Les outils de sécurité standard réussissent bien à signaler et même à corriger les événements indésirables impliquant des anomalies mauvaises connues. «L’univers basé sur la signature est assez efficace», explique Potter. «La plupart des attaquants ne réinventent pas la roue et feront le moins de travail possible pour atteindre leur objectif. S’ils peuvent faire la même chose cent fois et réussir 10 fois, c’est probablement assez bon. »
Mais il est difficile de former des ordinateurs pour rechercher des anomalies sur mesure, donc les objets de jugement humain peut aider dans certains environnements. «C’est une chose de sensibiliser et de faire aller l’alerte:« Hé, voici quelque chose de squirrelly »», explique Potter. « C’est une autre chose alors pour un humain d’avoir le signal devant eux pour pouvoir dire: » Oh, oui, c’est vraiment bizarre. « »
Plusieurs cas d’utilisation pour la détection d’anomalies ne correspondent pas aux détections de signature typiques des tendances typiques à l’échelle de l’industrie impliquant des ransomwares, une exfiltration de données ou des signatures de commande et de contrôle, dit Shriner d’IBM. Il s’agit notamment des menaces d’initiés, de la détection des fraudes, de la gestion des systèmes informatiques, etc.
Mais, avant de faire quoi que ce soit d’autre, les CISO doivent d’abord reconnaître qu’ils ont besoin des idées qu’ils peuvent gagner de la détection d’anomalies plus sur mesure. «Avec une compréhension de base de la façon dont ces connaissances des données peuvent être utilisées, dans des cas d’utilisation tels que l’exfiltration des données, les informations d’identification compromises, les malwares et les menaces d’initiés, les organisations peuvent alors créer une stratégie de détection d’anomalies qui correspond à leur analyse de rentabilisation spécifique», explique Shriner .
Potter pense que les organisations devraient rechercher l’équilibre lors de la conduite de leurs programmes de détection d’anomalies personnalisées. «Pour la plupart des organisations, vous n’avez pas le temps de vous bricoler pour proposer une capacité de détection d’anomalies par vous-même», dit-il. «C’est là que je pense que les organisations ont des ennuis. Vous êtes tous dans la détection de signature, donc si quelque chose de nouveau se produit, vous y êtes aveugle. «
Mais ensuite, à l’inverse, «il y a des entreprises qui ont été toutes dans les anomalies. Il n’y a littéralement aucune signature. C’est juste tous les mathématiques et l’IA et tout ce genre de choses. Et mec, cela peut aussi sortir des rails. Donc, je pense que lors de l’achat, vous devez penser aux deux. Et la réalité est la plupart des produits, la plupart des produits matures, sont une combinaison raisonnable des deux. »
