Il est temps de révéler votre nouveau super-pouvoir : Détecter les malwares au sein du trafic chiffré !

Connaissez-vous la série « Mentalist » ? L’inimitable Patrick Jane dénoue les plus grandes affaires criminelles grâce à ses pouvoir de médium et d’analyste comportemental : Un froncement de sourcils de trop, un rictus inconscient lors d’une conversation informelle, autant de signes qui révèlent un comportement suspect. Aidées par le machine learning, les solutions Cisco utilisent les mêmes techniques pour détecter les malwares au sein du trafic chiffré, a priori opaque.

http versus https

Nos études démontrent que d’ici 2019, 60% du trafic web mondial sera chiffré. Cette évolution va dans le sens de la protection des données transportées dans les flux internet,  bénéfiques pour les entreprises et les particuliers à des fins de respect de la confidentialité. Google favorise aujourd’hui le référencement des sites web en https pour garantir plus de protection aux utilisateurs de ces sites.

Un site web en http permet de collecter de nombreuses informations et l’on peut obtenir jusqu’à 500 caractéristiques observables dans chaque requête. Chaque chargement de page contient de 50 à 200 requêtes HTTP sur le même serveur. Dans ce cas, il est aisé de récolter des informations sur la nature du trafic et son contenu.

 

 

 

 

 

 

 

A l’inverse, un trafic https est beaucoup plus opaque et pauvre en informations visibles. Les domaines de destination ne sont pas directement observables. C’est une opportunité formidable pour les hackers s’ils veulent lancer des attaques cachées.

 

 

 

 

 

 

 

Cisco ETA (Encrypted Trafic Analytics) en résumé

Basé sur du machine learning, Cisco ETA va permettre d’analyser les propriétés de la session TLS et du nom de domaine. Les premiers paquets de chaque connexion contiennent des informations précieuses sur son contenu : les métadonnées.

La solution analyse aussi la taille des paquets et les différences temporelles pour voir quel type de contenu (vidéo, web, voix ou téléchargements) est livré dans la connexion. Une comparaison de ces informations avec la carte globale des risques issue de la Threat Intelligence Cisco Talos permet donc d’évaluer de manière fiable le niveau de risque du paquet analysé sans l’avoir déchiffré.

En savoir plus sur Cisco ETA