Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comprendre les cyber attaques à l’aide de la matrice MITRE et de l’IA

juillet 2019 par Marc Jacob

Itrust a organisé une conférence animée par le Responsable Avant-Vente et Responsable Delivery, un Data Scientist et Christophe Baron, directeur commercial afin de montrer l’intérêt de l’utilisation de l’IA dans le domaine de la cybersécurité.

Christophe Baron

En introduction, Christophe Baron a fait un rapide rappel de la vocation d’Itrust, un éditeur de cybersécurité français dont le siège se trouve à Toulouse. Les solutions d’Itrust sont soutenues par l’Etat Français. Elle a reçu le Label Cyber Security et est membre d’Hexatrust. Itrust a débuté en proposant du Pentest, puis a développé un scanner de vulnérabilités Ikare, un logiciel d’analyse comportementale Reveelium et un SIEM. De plus, Itrust propose aujourd’hui un SOC avec des niveaux de services de 1 à 3. Les trois softs fonctionnent de concert en s’alimentant l’un l’autre.

La matrice MITRE permet de créer une stratégie de détection en fonction des risques à couvrir en des data sources. Pour son analyse Itrust a recours à l’IA avec l’aide de Data Scientistes.

Le Responsable Avant-Vente et Responsable Delivery et un Data Scientist de l’équipe d’Itrust ont présenté par la suite la manière dont Itrust utilise l’IA en matière de détection des cyber attaques. En préambule, le Data Scientist a proposé une rapide définition de l’IA. L’IA permet de traiter d’énormes volumes de données pour tirer les informations nécessaires. Cette technologie a débuté par l’utilisation des statistiques et d’algorithmes mathématique afin de décrire des situations. Progressivement après la seconde guerre mondiale, le datamining a fait son apparition. Il permet de prendre en compte de nombreuses variables et de les corréler. Cette technologie a tout d’abord été utilisée dans la finance. En parallèle, les réseaux de neurones qui sont de l’algorithmie pour faire de la prédiction sont apparus. Par contre à cette époque on n’avait pas les puissances de calcul nécessaire à l’exploitation de leurs résultats. Puis lorsque les puissances de calcul à partir des années 1990 sont devenues plus importantes, le machine learning est redevenue un sujet de recherche. Par la suite dans les années 2000 avec l’émergence d’Hadoop qui permet de mieux utiliser les puissances de calcul, l’apprentissage des machines a été facilité grâce à la possibilité de calcul distribué. Cette dernière étape a permis d’arriver au deep learning. Elle a été à l’origine de l’IA par la possibilité donner à la machine de pouvoir réaliser de l’auto apprentissage. Le data scientiste va travailler sur la donnée pour pouvoir automatiser des comportements.

Aujourd’hui, en cyber sécurité, il y a une énorme complexité c’est pour cela que le data scientiste doit travailler avec des experts en cyber. Leur objectif est de comprendre quelles sont les situations anormales afin de pouvoir les décrire à la machine qui va par la suite faire de l’auto apprentissage. Pour cela, le data scientiste utilise les logs pour faire apprendre à la machine les comportements normaux et anormaux. L’objectif est de trouvé l’aiguille dans la botte de foin. Il faut qu’il y ait un apprentissage continu pour affiner les résultats et éviter les faux positifs.

Concernant l’analyse MITRE, elle doit être réalisée sur mesure en fonction d’analyse de risques de chaque client. L’objectif est de contextualiser les règles de base. On utilise pour cela les sources de logs des équipements du réseau afin de trouver les règles de détection pour déterminer la bonne stratégie de détection. Cette dernière doit évoluer au fur et à mesure du temps et de l’évolution du SI.

DGA face au machine learning

Lors d’une attaque Command & Control afin d’exflitrer des données l’attaquant utilise des noms de domaine aléatoire afin de by passer les équipements de sécurité. Pour détecter ces DGA (Domaine Génération Algorithme), nom de domaine aléatoire en français, on peut utiliser l’IA pour analyser ces générations de noms de domaine aléatoire et détecter ou non ce type d’attaques. Pour y arriver, il faut constituer une base de données pour que la machine apprenne le champ des possibles. Pour cela on utilise des algorithmes LSTM qui sont utilisés pour apprendre à une machine à discuter avec un humain. On donne des historiques de nom de domaines pour qu’elle prédise les prochains. Il faut pour cela qu’il ait une évaluation à long et court terme pour arriver à cette prédiction. Pour cela Itrust utilise des technologies de type Random Forest pour déterminer tous les cas possible et Bitgram pour trouver les comportements déviants.

Reveelium en outre utilise la technologie UEBA qui est un domaine d’application de l’IA appliqué à la cybersécurité afin de modéliser des comportements pour détecter ceux qui sont normaux et ceux inhabituels. Itrust se sert de la théorie des graphes pour analyser les différents types de communication et déterminer des profils de communication. Par la suite, il est possible de trouver les comportements déviants. Itrust se sert aussi de cas d’usage centrés sur l’utilisateur en faisant apprendre à l’algorithme les comportements normaux. Si une déviance est repérer elle génère automatiquement une alerte. Enfin, Itrust travaille en partenariat avec des laboratoires de recherche qui utilise des technologies de « Embeding » pour obtenir des modèles mathématiques des protocoles de communications entre les machines. L’objectif est de trouver les déformations des espaces de communication pour lever des anomalies. Cela permet de détecter des attaques très complexes.

Bien sûr, l’ensemble des résultats sont compilés dans un tableau de bord centralisé visuel pour être analysés par les experts en cybersécurité.

SoC pour détecter plus rapidement une attaque

Le SoC permet de raccourcir les temps de détection au maximum grâce à une analyse en permanence du SI. Le deuxième objectif est de mettre en place un plan de cyber résilience. En fait, toute entreprise est sujette à subir des attaques. Elle doit donc se préparer à répondre rapidement en cas de crise a expliqué le Responsable avant-vente. Le SoC permet de sélectionner les attaques en fonction de leur sévérité afin de ne traiter que celles qui sont les plus graves.

Selon, les l’experts d’Itrust les attaques les plus courantes commencent par le phishing qui est simplifiés en connaissant les logique d’adressage des e-mails. A cette étape l’attaquant va adresser des mails frauduleux. le Responsable avant-vente a pris l’exemple de la détection d’un APT par le SoC d’Itrust en utilisant Reveelium et Ikare. Tout commence souvent par une campagne de phishing, un accès au réseau avec une élévation de privilèges pour procéder à une exfiltration de donner. Toutes ces actions prises individuellement semblent anodines. C’est leur corrélation qui permet de lancer une alerte. La matinée s’est conclue par la visite du Soc d’Itrust.




Voir les articles précédents

    

Voir les articles suivants