La plupart des systèmes et produits de sécurité traditionnels sont conçus pour faire face aux menaces connues. Lorsqu’ils voient et détectent quelque chose de malveillant, ils le bloquent. Aujourd’hui, pour passer outre ces produits qui bloquent les menaces connues, les attaquants sont obligés d’innover et de proposer quelque chose de jamais vu auparavant.
Ce n’est pas un problème.
Les experts rapportent qu’ils tombent sur 300 000 à 700 000 nouveaux fichiers infectés par jour, ce qui signifie qu’il y a en moyenne quelques millions de menaces (inconnues) par semaine. Il est désormais impossible de créer des signatures pour un tel volume de menaces. Et il est compliqué de tenir à jour des listes de menaces connues sans impact sur les performances : il suffit de penser à votre RAM & CPU, avec un produit qui devrait jouer avec des millions de signatures…
Le risque imminent qui nous attend en 2020 : les menaces inconnues.
Microsoft a entamé la nouvelle décennie avec un boom. Le premier patch de 2020 s’est attaqué à une dangereuse faille dans Crypt32.dll qui permettrait à des pirates informatiques malveillants d’usurper des signatures. En traitant avec des malwares, les pirates offensifs pouvaient ainsi créer des armes inconnues, les faisant passer pour des produits normaux, comme un produit officiel.
Pourquoi les programmes antivirus basés sur les signatures sont utiles uniquement « hier » ?
Comme expliqué précédemment, les systèmes antivirus basés sur les signatures s’appuient sur les moyens de détection traditionnels pour stopper les menaces. Mais les attaquants sont devenus plus sophistiqués.
Un exemple connu depuis des décennies : ils peuvent utiliser le principe de survie de Darwin, mais pour les logiciels malveillants.
Voici comment :
Les pirates créent une souche de logiciels malveillants puis génèrent des variantes de la souche initiale avec des modifications spécifiques. Ils les font passer par des programmes antivirus basés sur les signatures dans leur laboratoire secret hors ligne. De nombreux virus déclenchent une alarme. Mais beaucoup passent inaperçus.
Ensuite, les attaquants prennent les survivants et génèrent de nouvelles variantes. Beaucoup de ces itérations conduisent à des virus générés à partir d’une souche de base, qui survivront à beaucoup de programmes antivirus. Ce comportement avec des virus polymorphes est une façon de contourner les programmes antivirus traditionnels. C’est comme le principe de survie de Darwin appliqué pour générer des logiciels malveillants puissants !
Le comportement polymorphe n’est pas la menace la plus urgente, mais il est intéressant. Cette pratique ouvre deux voies principales à un attaquant
- Ils pourraient créer des menaces inconnues qui ressemblent à des programmes légitimes et sont difficiles à détecter.
- Ou, dans un cadre plus sophistiqué, ils pourraient ne pas utiliser d’armes du tout ! Comment braquer une banque sans arme ? Astuce : Les gardes ont des armes à l’intérieur de la banque. Les pirates informatiques pourraient d’abord sécuriser leur accès (par une entrée VPN à distance vulnérable avec un mauvais mot de passe, par le phishing, par des exploits, etc). Ensuite, ils évitent l’utilisation de logiciels malveillants pour rester totalement furtifs. Pendant ce temps, ils tentent d’améliorer leurs droits d’accès par une “escalade des privilèges”. Ensuite, ils disposent des armes officielles/légales à l’intérieur de l’infrastructure : les droits d’administration.
Cette compréhension nous oblige à aller au-delà des anciens systèmes antivirus et à réfléchir à des moyens plus modernes de gestion des menaces.
Apprentissage profond / IA : la cybersécurité du nouvel âge
L’apprentissage profond est l’une des branches les plus avancées de l’intelligence artificielle aujourd’hui. L’apprentissage profond est la science pour essayer d’apprendre comme le fait un cerveau humain. Il s’agit d’assimiler toutes les données et d’en tirer des enseignements de manière intuitive et automatique. Par conséquent, l’apprentissage profond n’a pas besoin de l’aide de l’homme pour comprendre les nouvelles données qui lui sont présentées.
En ce sens, l’apprentissage profond est plus efficace que l’apprentissage automatique qui nécessite un expert en cybersécurité et entraîne également un taux élevé de faux positifs en raison de sa dépendance à l’égard des extractions de caractéristiques.
Avec l’IA et l’apprentissage profond, nous pouvons tirer parti d’un système entièrement autonome capable d’apprendre à partir de données brutes, au-delà des limites de la compréhension d’un expert en cybersécurité.
L’apprentissage profond plaide en faveur d’un dispositif de cybersécurité autonome et avancé, avec une prévention, une détection et une réponse intuitives.
C’est là que l’apprentissage profond s’avère utile :
- Données d’apprentissage profond – Des ensembles de données sur les menaces massives sont à notre disposition aujourd’hui avec des millions d’échantillons. Les algorithmes d’apprentissage profond peuvent utiliser ces données de manière efficace.
- Limites de décision intrinsèques – Les charges utiles et les protocoles sont de nature complexe. L’apprentissage profond peut aider à tirer parti de la complexité des menaces et à identifier tous les types de menaces lorsqu’il est bien formé.
- GPU – Avec la disponibilité d’équipements de traitement plus sophistiqués, le coût de la technologie sous-jacente n’a jamais été aussi bas. L’apprentissage profond peut nous permettre de former et de valider des modèles en quelques heures, voire quelques minutes.
Pour une meilleure posture en matière de cybersécurité, les entreprises doivent désormais se pencher sur l’intuitivité de leur plateforme, plutôt que sur la réactivité.
« …En ce sens, l’apprentissage profond est plus efficace que l’apprentissage automatique… »
Comment identifier et se défendre contre des menaces inconnues
Aujourd’hui, les organisations sont prises dans une course aux armements avec des cyber-attaquants. Et ce sont les cybercriminels qui ont le dessus. Nous assistons à une croissance fulgurante des menaces 0-day.
Alors que les équipes de sécurité sont confrontées aux menaces qu’elles connaissent, elles sont aux prises avec une surface d’attaque toujours plus grande. La multiplication des appareils mobiles et de l’IoT rend plus difficile pour les experts en sécurité la protection des points d’entrée au sein de toute entreprise.
Comment les experts en sécurité peuvent-ils tirer parti des nombreux bruits qu’ils reçoivent des systèmes traditionnels cloisonnés, fournir des services commerciaux critiques sans ralentissement et gérer les incidents de sécurité au fur et à mesure ?
Les systèmes d’apprentissage en profondeur peuvent être mis à contribution lorsque de nombreux systèmes critiques se battent pour établir des priorités. L’apprentissage profond permet de s’engager dans un programme de cybersécurité holistique au lieu de se concentrer sur chaque dispositif, terminal ou élément d’infrastructure individuellement.
Une autre pièce clé de ce puzzle est l’analyse du comportement.
Nous devons donner la priorité à l’analyse des comportements, tant en ligne que hors ligne. Un employé agit bizarrement. Un utilisateur administrateur veut accéder à des données sensibles à des heures inhabituelles. Cela devrait ressembler à un drapeau rouge.
Un apprentissage profond peut déclencher des signaux d’alarme là où un humain le laisserait passer.
Si vous cherchez à redresser votre posture de cybersécurité grâce à l’apprentissage profond, à l’automatisation des processus robotiques et à l’intelligence artificielle, contactez TEHTRIS. Éliminons ce cyberbrouillard de guerre et adaptons une posture plus réaliste.