On entend beaucoup parler ces derniers temps de l’apprentissage automatique appliqué à la cybersécurité. Il semble que l’un ne va plus sans l’autre.
Les solutions Cisco utilisent le machine learning depuis des décennies. C’est un sujet maîtrisé. L’apprentissage automatique est une méthode utilisée pour détecter et analyser les menaces. C’est une méthode, pas un résultat. En matière de sécurité, la distinction est importante. Ces dernières années, beaucoup d’entreprises ont vanté leur solution d’apprentissage automatique, sans vraiment expliquer ce qu’elle impliquait.
Les premières utilisations du Machine Learning chez Cisco
En 2013, nous avons acquis Cognitive Security, une entreprise entièrement dédiée au machine learning. Nous avons rapidement intégré leur technologie – maintenant appelée Cognitive Intelligence – avec nos solutions de sécurisation du web pour améliorer la détections des menaces . Il s’agit d’une solution de détection passive. Les journaux du serveur proxy sont envoyés vers Cognitive Intelligence à des fins d’analyse. Nous analysons les attributs des journaux (sans examiner la charge utile) pour détecter les activités anormales dans le flux normal. Le résultat est simple : Cognitive Intelligence signale uniquement les hôtes dont elle peut affirmer qu’ils sont compromis. Avertis uniquement des infections confirmées, les analystes ne perdent pas de temps et gèrent seulement la résolution des problèmes et le nettoyage.
Cette solution était la première forme d’intégration de l’apprentissage automatique dans notre gamme de produits de sécurité. Conscients de l’intérêt de cette technologie, nous avons commencé à utiliser ses fonctionnalités robustes d’analyse dans d’autres parties de l’infrastructure de sécurité. Nous avons incorporé des algorithmes pour mettre en corrélation de très grandes quantités de données et récupérer des informations bien plus utiles que celles obtenues à partir d’un seul vecteur. En mettant en corrélation les données du trafic réseau avec les communications sortant du serveur proxy, par exemple, vous pouvez identifier un hôte compromis ayant des privilèges d’administrateur et se déplaçant de façon latérale, ce qui est impossible à détecter avec une seule technologie, sauf si vous connectez plusieurs composants.
L’apprentissage automatique appliqué à la télémétrie du réseau
Cisco est pionnier en matière de fourniture de switchs et de routeurs. L’infrastructure réseau est une source inestimable de données. Par exemple, Stealthwatch collecte et analyse la télémétrie du réseau afin d’identifier les menaces qui pourraient s’y infiltrer. La solution s’intègre avec le moteur d’apprentissage automatique Cognitive Intelligence, qui met en corrélation les comportements des menaces observées localement dans l’entreprise avec ceux observés à l’échelle mondiale. Elle détecte les anomalies et est également suffisamment intelligente pour ensuite classer chaque menace (ce qui est anormal n’étant pas nécessairement malveillant), générant des alertes critiques et extrêmement fiables. Cette technologie est aussi utilisée par Encrypted Traffic Analytics (ETA), qui détecte les malwares dans le trafic chiffré sans déchiffrement, une exclusivité sur le marché.
L’apprentissage automatique appliqué à la sécurité des terminaux
En matière de sécurité des terminaux, il est généralement admis que la détection basée sur la signature (comme les hashs de fichiers) fait partie de la solution, mais elle n’est pas suffisante. Il n’est pas très difficile de changer les valeurs des hashs de fichiers ou les plages d’adresses IP. Ainsi, les hackers peuvent générer de nouveaux hashs SHA256 pour chaque infection. Si une valeur de hash est suffisante pour identifier un seul fichier malveillant, elle ne permet pas d’identifier les infections de malwares polymorphes associés au même exploit ou au même hacker. Le même hash n’apparaît jamais deux fois.
Lorsque nous appliquons l’apprentissage automatique à ces fichiers, nous pouvons les analyser un par un en détail. Cela équivaut à examiner tous les composants d’une voiture plutôt que la voiture dans son ensemble. Toutes les voitures ont des pneus, un moteur, un pare-brise, des fenêtres, un châssis et ainsi de suite. Mais toutes les voitures ne sont pas conçues de la même façon. C’est la même chose pour les malwares. Nous pouvons décomposer chaque menace jusqu’à un niveau de détail exceptionnel (plus de 400 attributs différents). Ces attributs servent de classificateurs au modèle d’apprentissage automatique, et plus le niveau de détails est important, plus il permet d’obtenir un algorithme intelligent, mieux formé ainsi que des résultats d’une plus grande fidélité. Ainsi notre solution d’apprentissage automatique est plus efficace pour identifier les nouvelles menaces remaniées. Les hackers reconditionnent souvent leurs exploits sous différents formats, comme la vulnérabilité Flash de CVE-2018-4878 utilisée dans plusieurs exploits, y compris ROKRAT et la campagne qui s’en est suivie. L’apprentissage automatique est l’une des 14 techniques utilisées par AMP pour Endpoints pour détecter et maîtriser les menaces.
Reconstituer le puzzle
Chez Cisco, nous allons encore plus loin en définissant des modèles de hackers à l’aide de l’apprentissage automatique et du moteur d’analyse Cognitive Intelligence. En mettant en corrélation les données de télémétrie des journaux de proxy web (Cisco et tiers), la télémétrie du réseau (à partir de Stealthwatch), les valeurs SHA256 et le comportement des fichiers identifiés par AMP, nous identifions de quelle manière les hackers fonctionnent, ce qu’ils font et même qui ils sont. En alimentant nos algorithmes d’apprentissage automatique avec cette quantité de données, nous fournissons un niveau inégalé de détection, et surtout, nous bloquons plus de menaces avant qu’elles deviennent un vrai problème. Nous présenterons en détail différents classificateurs dans de prochains articles de blog.
Pour en savoir plus sur la façon dont nous appliquons l’apprentissage automatique dans nos solutions de sécurité Cisco, consultez cette vidéo technique.
Article traduit et adapté de la version anglaise : https://blogs.cisco.com/security/how-we-apply-machine-learning-in-cisco-advanced-threat-solutions