Le machine learning appliqué aux solutions Cisco Sécurité

On entend beaucoup parler ces derniers temps de l’apprentissage automatique appliqué à la cybersécurité. Il semble que l’un ne va plus sans l’autre.

Les solutions Cisco utilisent le machine learning depuis des décennies. C’est un sujet maîtrisé. L’apprentissage automatique est une méthode utilisée pour détecter et analyser les menaces. C’est une méthode, pas un résultat. En matière de sécurité, la distinction est importante. Ces dernières années, beaucoup d’entreprises ont vanté leur solution d’apprentissage automatique, sans vraiment expliquer ce qu’elle impliquait.

Les premières utilisations du Machine Learning chez Cisco

En 2013, nous avons acquis Cognitive Security, une entreprise entièrement dédiée au machine learning. Nous avons rapidement intégré leur technologie – maintenant appelée Cognitive Intelligence – avec nos solutions de sécurisation du web pour améliorer la détections des menaces . Il s’agit d’une solution de détection passive. Les journaux du serveur proxy sont envoyés vers Cognitive Intelligence à des fins d’analyse. Nous analysons les attributs des journaux (sans examiner la charge utile) pour détecter les activités anormales dans le flux normal. Le résultat est simple : Cognitive Intelligence signale uniquement les hôtes dont elle peut affirmer qu’ils sont compromis. Avertis uniquement des infections confirmées, les analystes ne perdent pas de temps et gèrent seulement la résolution des problèmes et le nettoyage.

Cette solution était la première forme d’intégration de l’apprentissage automatique dans notre gamme de produits de sécurité. Conscients de l’intérêt de cette technologie, nous avons commencé à utiliser ses fonctionnalités robustes d’analyse dans d’autres parties de l’infrastructure de sécurité. Nous avons incorporé des algorithmes pour mettre en corrélation de très grandes quantités de données et récupérer des informations bien plus utiles que celles obtenues à partir d’un seul vecteur. En mettant en corrélation les données du trafic réseau avec les communications sortant du serveur proxy, par exemple, vous pouvez identifier un hôte compromis ayant des privilèges d’administrateur et se déplaçant de façon latérale, ce qui est impossible à détecter avec une seule technologie, sauf si vous connectez plusieurs composants.

L’apprentissage automatique appliqué à la télémétrie du réseau

Cisco est pionnier en matière de fourniture de switchs et de routeurs. L’infrastructure réseau est une source inestimable de données. Par exemple, Stealthwatch collecte et analyse la télémétrie du réseau afin d’identifier les menaces qui pourraient s’y infiltrer. La solution s’intègre avec le moteur d’apprentissage automatique Cognitive Intelligence, qui met en corrélation les comportements des menaces observées localement dans l’entreprise avec ceux observés à l’échelle mondiale. Elle détecte les anomalies et est également suffisamment intelligente pour ensuite classer chaque menace (ce qui est anormal n’étant pas nécessairement malveillant), générant des alertes critiques et extrêmement fiables. Cette technologie est aussi utilisée par Encrypted Traffic Analytics (ETA), qui détecte les malwares dans le trafic chiffré sans déchiffrement, une exclusivité sur le marché.

L’apprentissage automatique appliqué à la sécurité des terminaux

En matière de sécurité des terminaux, il est généralement admis que la détection basée sur la signature (comme les hashs de fichiers) fait partie de la solution, mais elle n’est pas suffisante. Il n’est pas très difficile de changer les valeurs des hashs de fichiers ou les plages d’adresses IP. Ainsi, les hackers peuvent générer de nouveaux hashs SHA256 pour chaque infection. Si une valeur de hash est suffisante pour identifier un seul fichier malveillant, elle ne permet pas d’identifier les infections de malwares polymorphes associés au même exploit ou au même hacker. Le même hash n’apparaît jamais deux fois.

Lorsque nous appliquons l’apprentissage automatique à ces fichiers, nous pouvons les analyser un par un en détail. Cela équivaut à examiner tous les composants d’une voiture plutôt que la voiture dans son ensemble. Toutes les voitures ont des pneus, un moteur, un pare-brise, des fenêtres, un châssis et ainsi de suite. Mais toutes les voitures ne sont pas conçues de la même façon. C’est la même chose pour les malwares. Nous pouvons décomposer chaque menace jusqu’à un niveau de détail exceptionnel (plus de 400 attributs différents). Ces attributs servent de classificateurs au modèle d’apprentissage automatique, et plus le niveau de détails est important, plus il permet d’obtenir un algorithme intelligent, mieux formé ainsi que des résultats d’une plus grande fidélité. Ainsi notre solution d’apprentissage automatique est plus efficace pour identifier les nouvelles menaces remaniées. Les hackers reconditionnent souvent leurs exploits sous différents formats, comme la vulnérabilité Flash de CVE-2018-4878 utilisée dans plusieurs exploits, y compris ROKRAT et la campagne qui s’en est suivie. L’apprentissage automatique est l’une des 14 techniques utilisées par AMP pour Endpoints pour détecter et maîtriser les menaces.

Reconstituer le puzzle

Chez Cisco, nous allons encore plus loin en définissant des modèles de hackers à l’aide de l’apprentissage automatique et du moteur d’analyse Cognitive Intelligence. En mettant en corrélation les données de télémétrie des journaux de proxy web (Cisco et tiers), la télémétrie du réseau (à partir de Stealthwatch), les valeurs SHA256 et le comportement des fichiers identifiés par AMP, nous identifions de quelle manière les hackers fonctionnent, ce qu’ils font et même qui ils sont. En alimentant nos algorithmes d’apprentissage automatique avec cette quantité de données, nous fournissons un niveau inégalé de détection, et surtout, nous bloquons plus de menaces avant qu’elles deviennent un vrai problème. Nous présenterons en détail différents classificateurs dans de prochains articles de blog.

Pour en savoir plus sur la façon dont nous appliquons l’apprentissage automatique dans nos solutions de sécurité Cisco, consultez cette vidéo technique.

 

Article traduit et adapté de la version anglaise : https://blogs.cisco.com/security/how-we-apply-machine-learning-in-cisco-advanced-threat-solutions

 

Il est temps de révéler votre nouveau super-pouvoir : Détecter les malwares au sein du trafic chiffré !

Connaissez-vous la série « Mentalist » ? L’inimitable Patrick Jane dénoue les plus grandes affaires criminelles grâce à ses pouvoir de médium et d’analyste comportemental : Un froncement de sourcils de trop, un rictus inconscient lors d’une conversation informelle, autant de signes qui révèlent un comportement suspect. Aidées par le machine learning, les solutions Cisco utilisent les mêmes techniques pour détecter les malwares au sein du trafic chiffré, a priori opaque.

http versus https

Nos études démontrent que d’ici 2019, 60% du trafic web mondial sera chiffré. Cette évolution va dans le sens de la protection des données transportées dans les flux internet,  bénéfiques pour les entreprises et les particuliers à des fins de respect de la confidentialité. Google favorise aujourd’hui le référencement des sites web en https pour garantir plus de protection aux utilisateurs de ces sites.

Un site web en http permet de collecter de nombreuses informations et l’on peut obtenir jusqu’à 500 caractéristiques observables dans chaque requête. Chaque chargement de page contient de 50 à 200 requêtes HTTP sur le même serveur. Dans ce cas, il est aisé de récolter des informations sur la nature du trafic et son contenu.

 

 

 

 

 

 

 

A l’inverse, un trafic https est beaucoup plus opaque et pauvre en informations visibles. Les domaines de destination ne sont pas directement observables. C’est une opportunité formidable pour les hackers s’ils veulent lancer des attaques cachées.

 

 

 

 

 

 

 

Cisco ETA (Encrypted Trafic Analytics) en résumé

Basé sur du machine learning, Cisco ETA va permettre d’analyser les propriétés de la session TLS et du nom de domaine. Les premiers paquets de chaque connexion contiennent des informations précieuses sur son contenu : les métadonnées.

La solution analyse aussi la taille des paquets et les différences temporelles pour voir quel type de contenu (vidéo, web, voix ou téléchargements) est livré dans la connexion. Une comparaison de ces informations avec la carte globale des risques issue de la Threat Intelligence Cisco Talos permet donc d’évaluer de manière fiable le niveau de risque du paquet analysé sans l’avoir déchiffré.

En savoir plus sur Cisco ETA 

 

Les systèmes de sécurité dits “périmétriques” ne suffisent plus !

Article rédigé par Tanguy Mercier, Acquisition Acceleration Sales Leader EMEAR for Stealthwatch

Face au nombre croissant de nouvelles menaces, les systèmes de sécurité dits périmétrique ne suffisent plus à eux seuls à protéger les systèmes d’information des entreprises, et ce quelques soient leurs tailles.

La sécurité des systèmes d’information de l’entreprise est devenue un enjeu majeur non seulement pour les responsables informatique (CTO, CISO) mais aussi pour les dirigeants (CEO) qui doivent désormais prendre en compte les nouvelles réglementations

Désormais, les responsables de la sécurité des systèmes d’information (RSSI/CISO) n’ont plus le choix que de devoir mettre en place des solutions qui soient capable de contrôler qui accède au réseau de l’entreprise et surtout de détecter le plus rapidement possible tout comportement anormal.

Ces dernières années, Cisco a développé une solution de sécurité innovante qui tire parti de l’infrastructure réseau afin d’analyser son comportement et prévenir en temps réel de toutes déviances liées à un comportement anormal. Il peut s’agir de la propagation d’un logiciel malveillant (malware, ransomware), de l’exfiltration de données sensibles vers le réseau d’un partenaire ou pire vers des machines externes totalement inconnues.

Cette solution baptisée “Network Visibility and Enforcement” (NVE) s’appuie sur un ensemble de composants techniques (matériel et logiciel) capables de collecter un volume très important de données en provenance du réseau, de stocker et d’analyser ces informations en temps réel.

Ces données sont ensuite corrélées avec d’autres sources d’information comme celle de Cisco Talos afin d’aider les centres opérationnels en charge de la cyber sécurité (SOC) à détecter et à neutraliser plus efficacement et plus rapidement toutes nouvelles menaces.

Le succès de la solution Cisco repose sur le fait qu’elle soit capable de gérer tous types d’infrastructures et qu’elle n’impose pas de déployer d’équipements supplémentaires qui viendraient affaiblir ou complexifier le réseau.

De plus, l’efficacité de cette solution repose sur le fait qu’elle combine à la fois l’usage de modèles mathématiques (algorithmes) très aboutis qui ont été développés par les centres de recherche de Cisco pour détecter spécifiquement tous types de menaces avec les dernières évolutions en matière de techniques d’intelligence artificielle (AI) et d’apprentissage automatique (Machine Learning).

Récemment, Cisco a introduit dans ses équipements réseaux la fonctionnalité Encrypted Traffic Analysis (ETA) qui lorsqu’elle est combinée avec la solution NVE permet de détecter la présence d’un logiciel malveillant lorsque celui-ci se propage à travers un flux chiffré.

Avec son initiative “The Network Intuitive”, Cisco considère que la protection des systèmes d’informations à l’ère du tout numérique, ne pourra se faire efficacement que si l’on est capable de surveiller 100% du trafic réseau.

Ce besoin va obliger les entreprises à disposer obligatoirement de systèmes capables de traiter un très grand volume de données et surtout de pouvoir extraire les informations essentielles et utiles afin de servir au mieux les équipes informatiques de plus en plus contraintes.

Découvrez comment votre réseau peut vous aider à mieux vous protéger contre les nouvelles menaces grâce à la solution Cisco NVE et demandez dès à présent un audit gratuit de votre réseau en remplissant le formulaire sur notre site Internet : Cisco Stealthwatch Visibility Assessment.

« Il est NaaS ton réseau ! » : Le nouveau compliment que vous pourriez recevoir…

Et il n’y aurait rien de plus flatteur à l’heure des réseaux intelligents…

La transformation digitale et le réseau intelligent

La transformation digitale des entreprises s’accompagne d’investissements dans des infrastructures intelligentes, agiles et sécurisées.

Une récente étude du cabinet Morgan Stanley prévoit qu’en 2017 les dépenses IT des grandes entreprises devraient progresser de 4,5% et seront orientées vers les solutions Cloud, la sécurité, les outils analytiques et les équipements réseau.

En effet, un réseau performant garantit la fluidité des échanges, le maintien de l’activité, et la sécurité des informations qui y circulent à condition qu’il soit …intelligent ou autrement dit qu’il soit capable de s’adapter au contexte.

Network as a Sensor (NaaS)

C’est pour répondre notamment au besoin des Responsables Sécurité que Cisco propose une nouvelle génération de solution permettant de détecter tous types de menaces en se basant non plus sur des éléments connus (signature, virus, règles de filtrage, etc.) mais sur le comportement du réseau.

La solution Cisco Stealthwatch analyse en temps réel le comportement de n’importe quelle machine connectée au réseau de l’entreprise. Cette analyse s’appuie sur un ensemble d’algorithmes capables de reproduire et donc de détecter un large panel de menaces. Il s’agit donc de sécurité analytique.

Un module d’intelligence artificielle (Stealthwatch Learning Network) peut aussi être directement embarqué dans les équipements réseaux situés aux extrémités de l’infrastructure (agences, succursales, entrepôts) et fournir une couche additionnelle de sécurité comportementale au plus près des utilisateurs.

Déploiement simplifié sur les équipements du réseau

Cisco Stealthwatch s’appuie sur les informations (netflow) transmises par les équipements réseau (switch, router, firewall, proxy). Il n’est donc pas nécessaire de déployer des « sensors » à travers le réseau (le réseau est le sensor). Un seul composant (FlowCollector) et la console d’administration permettent de faire fonctionner la solution. Voir ici la démo de Cisco Stealthwatch déployé dans un environnement médical >

Chaque composant peut être doublé pour assurer de la redondance. La solution est non intrusive et n’affaiblit pas l’infrastructure puisqu’elle n’introduit pas d’équipements actifs supplémentaires en coupure.

Une fois l’environnement configuré le système distingue de lui-même s’il s’agit d’une menace réelle ou d’un événement bénin, évitant ainsi de générer un nombre trop important de de faux-positif et donc de noyer les administrateurs sous les alertes.

Une sécurité analytique pour lutter contre des menaces toujours plus sophistiquées

Les attaques de plus en plus sophistiquées deviennent indétectables par les systèmes de sécurité traditionnels. La protection périmétrique ne suffit plus avec l’émergence du Cloud ou du BYOD.

Ainsi, Cisco Stealthwatch combine des fonctionnalités de Big Data (via la collecte d’informations du réseau, netflow), d’analytique et d’intelligence artificielle. Ses capacités permettent de détecter tous types d’attaques y compris les attaques ciblées type « Zero-Day ».

Il est maintenant temps de rendre votre réseau intelligent, consultez plus de ressources ici sur Cisco Stealthwatch!

 

 

Les RSSI identifient 4 phénomènes majeurs pour 2017

Article tiré  des entretiens menés par Carolina Marino Sargeant, experte en sécurité chez Cisco, avec nos clients RSSI.

2016 fut une année chargée pour la cyber sécurité. Il est rare qu’un sujet technologique fasse les gros titres pendant si longtemps. La dernière fois, c’était concernant le « bug de l’an 2000 », nous avions peur qu’il bloque tous les systèmes informatiques et nous ramène en 1900.

Nous avions prévu l’apocalypse, mais heureusement elle ne s’est pas produite. Avec la cyber sécurité, c’est différent, car les cyberattaques se produisent et nous en sommes témoins. Nous découvrons à nos dépens leur impact concret sur les entreprises et la société. Les attaques sont de plus en plus complexes, mais nous apprenons à lutter.

Selon les experts européens de la sécurité avec lesquels nous avons discuté, voici quatre phénomènes auxquels nous devons nous attendre en 2017 :

  1. « IoT » : Au bonheur des Hackers

Les attaques virtuelles sont une conséquence du développement accéléré de nos technologies. La puissance informatique, les volumes de données et le débit Internet vont continuer à croître. L’Internet des objets (IoT) va continuer à se développer et le nombre d’appareils connectés à augmenter.

Pour les hackers, le calcul est simple : plus il y a de connexions et de données, plus il y a d’opportunités de gagner de l’argent.  Ils vont continuer à voler des données stratégiques et à les vendre au plus offrant. Ils demanderont également des rançons, ce qui nous amène à la tendance suivante.

  1. L’argent ou la fuite de données ?

Selon le FBI, les ransomwares ont rapporté plus d’un milliard de dollars aux hackers en 2016 et nous pensons que cette somme va continuer à augmenter.

Les attaques par Ransomware vont être de plus en plus ciblées. Au lieu d’attendre qu’une proie tombe dans leurs filets, les cybercriminels vont principalement cibler les plus gros poissons. Nous devons également nous attendre à une augmentation du nombre d’attaques ciblant les réseaux et non plus les utilisateurs.

Les cybercriminels n’ont pas de parole : le nombre d’attaques par ransomware au cours desquelles la victime paie la rançon mais ne récupère pas ses données devrait également augmenter.

  1. Le réseau saura prédire et agir

Comment les entreprises peuvent-elles se protéger alors que les cybermenaces se développent au même rythme que la technologie ? La réponse réside dans l’alliance de l’automatisation et de l’apprentissage automatique des systèmes. Automatiser les fonctions de sécurité est une nécessité : les réponses sont alors plus rapides et c’est le seul moyen de s’adapter au volume croissant de données issues de l’IoT.

Toutefois, l’automatisation seule ne suffit pas. L’apprentissage automatique permet de réagir de façon plus précise et aiguise les capacités de détection des systèmes de sécurité.

Nous nous attendons à voir de plus en plus d’entreprises adopter des solutions de sécurité pour lesquelles l’apprentissage automatique est un élément central. Nous nous dirigeons vers des solutions qui utilisent le réseau comme détecteur de menaces. Le réseau va devenir agile et capable de prendre des actions en termes de sécurité.

Les entreprises utiliseront plus d’outils d’analyse pour tirer les leçons de chaque incident et renforcer leur sécurité.

  1. De nouvelles lois pour une nouvelle approche de la sécurité

Selon nous, la nouvelle réglementation générale sur la protection des données (GDPR) sera l’une des révolutions de 2017, en particulier en Europe. La réglementation prendra effet en mai 2018 et les sanctions pour non-conformité seront strictes. Les entreprises vont devoir élargir leur approche. Elles seront nombreuses à devoir repenser entièrement leurs pratiques en matière de cybersécurité.

Nous pensons que cela amènera les entreprises à adopter une approche plus stratégique en matière de sécurité. Les architectures de sécurité simples, automatisées et ouvertes seront de plus en plus nombreuses.

En conclusion

En 2017, l’affrontement entre les cybercriminels et les acteurs de la protection va prendre un tournant. Jusqu’ici, ce sont les hackers qui l’emportaient, en agissant de façon toujours plus audacieuse et sophistiquée. Mais les entreprises de toutes tailles vont renforcer leurs défenses en 2017. Les organismes publics appliqueront de nouvelles législations et amélioreront les politiques. Les secteurs public et privé vont unir leurs forces, et la contre-attaque sera féroce.