Le SOC se tourne vers l'apprentissage automatique local pour attraper les cyber-intrus

À l'aide d'un modèle d'apprentissage automatique développé en interne et entraîné sur les données de journal, l'équipe de sécurité de l'information d'une banque française a découvert qu'elle pouvait détecter trois nouveaux types d'exfiltration de données que les appliances de sécurité basées sur des règles n'ont pas détectées.

Carole Boijaud, ingénieure en cybersécurité chez Credit Agricole Group Infrastructure Platform (CA-GIP), prendra la parole lors de la conférence Black Hat Europe 2022 la semaine prochaine pour détailler la recherche dans la technique, lors d'une session intitulée "Les seuils sont pour les anciennes menaces : démystifier l'IA et l'apprentissage automatique pour améliorer la détection SOC". L'équipe a pris des données récapitulatives quotidiennes à partir de fichiers journaux, extrait des caractéristiques intéressantes des données et les a utilisées pour trouver des anomalies dans le trafic Web de la banque.

La recherche s'est concentrée sur la façon de mieux détecter l'exfiltration de données par des attaquants et a abouti à l'identification d'attaques que le système précédent de l'entreprise n'avait pas réussi à détecter, dit-elle.

"Nous avons mis en place notre propre simulation des menaces, de ce que nous voulions voir, afin que nous puissions voir ce qui pouvait être identifié dans notre propre trafic", dit-elle. "Quand nous n'avons pas détecté [une menace spécifique], nous avons essayé de comprendre ce qui était différent, et nous avons essayé de comprendre ce qui se passait."

Alors que l'apprentissage automatique est devenu un mot à la mode dans l'industrie de la cybersécurité, certaines entreprises et chercheurs universitaires progressent encore dans l'expérimentation de leurs propres données pour trouver des menaces qui pourraient autrement se cacher dans le bruit. Microsoft, par exemple, a utilisé les données collectées à partir de la télémétrie de 400,000 XNUMX clients pour identifier des groupes d'attaques spécifiques et, à l'aide de ces classifications, prédire les actions futures des attaquants. D'autres entreprises utilisent des techniques d'apprentissage automatique, telles que des algorithmes génétiques, pour aider à détecter les comptes sur les plates-formes de cloud computing qui avoir trop d'autorisations.

Il y a une variété d'avantages à analyser vos propres données avec un système maison, dit Boijaud. Les centres d'opérations de sécurité (SOC) acquièrent une meilleure compréhension de leur trafic réseau et de l'activité des utilisateurs, et les analystes de la sécurité peuvent mieux comprendre les menaces qui attaquent leurs systèmes. Alors que le Crédit Agricole dispose de son propre groupe de plates-formes pour gérer l'infrastructure, gérer la sécurité et mener des recherches, même les petites entreprises peuvent bénéficier de l'application de l'apprentissage automatique et de l'analyse des données, déclare Boijaud.

« Développer son propre modèle n'est pas si cher et je suis convaincue que tout le monde peut le faire », dit-elle. "Si vous avez accès aux données et que vous avez des personnes qui connaissent les journaux, elles peuvent créer leur propre pipeline, du moins au début."

Trouver les bons points de données à surveiller

L'équipe d'ingénierie en cybersécurité a utilisé une technique d'analyse de données connue sous le nom de clustering pour identifier les caractéristiques les plus importantes à suivre dans leur analyse. Parmi les caractéristiques jugées les plus importantes figuraient la popularité des domaines, le nombre de fois que les systèmes ont contacté des domaines spécifiques et si la demande utilisait une adresse IP ou un nom de domaine standard.

"Sur la base de la représentation des données et du fait que nous surveillons le comportement quotidien des machines, nous avons pu identifier ces caractéristiques", explique Boijaud. "L'apprentissage automatique concerne les mathématiques et les modèles, mais l'un des faits importants est la façon dont vous choisissez de représenter les données et cela nécessite de comprendre les données et cela signifie que nous avons besoin de personnes, comme les ingénieurs en cybersécurité, qui comprennent ce domaine."

Après avoir sélectionné les caractéristiques les plus importantes dans les classifications, l'équipe a utilisé une technique connue sous le nom de "forêt d'isolement" pour trouver les valeurs aberrantes dans les données. L'algorithme de forêt d'isolement organise les données en plusieurs arbres logiques en fonction de leurs valeurs, puis analyse les arbres pour déterminer les caractéristiques des valeurs aberrantes. L'approche évolue facilement pour gérer un grand nombre de fonctionnalités et est relativement légère en termes de traitement.

Les efforts initiaux ont permis au modèle d'apprendre à détecter trois types d'attaques d'exfiltration que l'entreprise n'aurait pas détectées autrement avec les appliances de sécurité existantes. Dans l'ensemble, environ la moitié des attaques d'exfiltration ont pu être détectées avec un faible taux de faux positifs, dit Boijaud.

Toutes les anomalies du réseau ne sont pas malveillantes

Les ingénieurs ont également dû trouver des moyens de déterminer quelles anomalies indiquaient des attaques malveillantes et ce qui pouvait être un trafic non humain, mais bénin. Les balises publicitaires et les demandes envoyées à des serveurs de suivi tiers ont également été capturées par le système, car elles ont tendance à correspondre aux définitions des anomalies, mais pourraient être filtrées des résultats finaux.

L'automatisation de l'analyse initiale des événements de sécurité peut aider les entreprises à trier et à identifier plus rapidement les attaques potentielles. En effectuant les recherches elles-mêmes, les équipes de sécurité obtiennent un aperçu supplémentaire de leurs données et peuvent plus facilement déterminer ce qui est une attaque et ce qui peut être bénin, explique Boijaud.

CCA-GIP prévoit d'étendre l'approche d'analyse aux cas d'utilisation au-delà de la détection d'exfiltration à l'aide d'attaques Web, dit-elle.

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
La source: https://www.darkreading.com/analytics/soc-homegrown-machine-learning-cyberintruders

Intelligence de données générative

SOC se tourne vers l'apprentissage automatique local pour attraper les cyber-intrus

Trouver les bons points de données à surveiller

Toutes les anomalies du réseau ne sont pas malveillantes

Top 5 des juridictions pour obtenir une licence Forex

L'impact de l'IA sur les progrès de l'industrie

Dernières informations

L’euro progresse, la BCE envisage une réduction en juin – MarketPulse

Le développeur de Bitcoin Ordinals partage des conseils pour extraire des runes pendant la réduction de moitié, sans obtenir de Rekt – Décrypter

Éclairer votre entreprise : 5 stratégies de marketing solaire pour développer votre entrepriseLes essentiels des stratégies de marketing solaire

La société de trading Prop True Forex Funds présente Match-Trader comme plateforme de trading secondaire

Naviguer dans l’adoption de la XR : paysage actuel et stratégies de croissance

Redéfinissez votre présence : marketing d'influence dynamique pour le succès de YouTube

Discutez avec nous