Au réveil, un RSSI découvre le nom de sa société en première page des journaux.
Mais rien de réjouissant à cela, malheureusement, puisque l’article révèle que ses données ont fini sur un site public de partage de données. Un cauchemar malheureusement vécu par quantités d’organisations. Ce fut le cas de Singapour : 1,5 million de dossiers médicaux, dont celui du Premier ministre Lee Hsien Loong, ont été volés par des cyberpirates en 2018.
Il est aussi possible que les systèmes de la société n’aient pas été attaqués par des cyberpirates ou un collectif cybercriminel à la solde d’un État. La fuite peut être le fait d’un utilisateur interne animé d’intentions malveillantes et présenté dans les communiqués de presse comme un « collaborateur mal intentionné qui a agi illégalement et trahi la confiance de son employeur ». Il peut s’agir aussi d’un prestataire informatique sans scrupules qui a pris le contrôle du domaine de son client, exigé une rançon de 10 000 dollars avant de rediriger le site de la société vers un site pornographique lorsque celle-ci a refusé de payer.
Quel qu’en soit le scénario, ce genre de récit est malheureusement trop courant et peut avoir des conséquences désastreuses tant pour la cybersécurité que pour l’entreprise elle-même, qui se retrouve bien malgré elle à la une des journaux et dans la ligne de mire des forces de police. Si les journalistes et les autorités s’intéressent surtout aux auteurs de l’attaque, son mode opératoire et ses cibles, le plus important pour le centre SOC de l’entreprise est de bénéficier d’un historique lui permettant de reconstituer l’attaque, d’identifier les responsables et d’appliquer les mesures correctives nécessaires pour résoudre le problème, si ce n’est pas encore fait. Ce type d’historique est difficile à obtenir car il faut dégager les informations pertinentes parmi la masse de données collectées ; or celles-ci incluent des activités système à la fois suspectes et banales — ces anomalies système parfaitement inoffensives qui entraînent pourtant les équipes dans de longues recherches futiles.
Ces historiques complexes ont souvent comme point de départ les endpoints de l’environnement d’une entreprise. Citons par exemple un collaborateur qui trouve une clé USB dans le parking et, poussé par la curiosité, la connecte à son endpoint. Un autre peut avoir ouvert un PDF malveillant reçu par e-mail.
Il paraît sensé de surveiller les endpoints, points de départ de tant d’attaques, pour bénéficier d’une visibilité optimale. D’après une étude publiée en 2018 par le SANS Institute, 42 % des personnes interrogées ont reconnu avoir été la cible d’au moins une exploitation d’endpoint qui a conduit à l’exposition ou à l’exfiltration des données, ou a perturbé les activités de l’entreprise. Qui plus est, le chiffrement ne pose pas de problème au niveau des endpoints. Il est possible d’accéder aux activités réseau et des processus à partir des endpoints, et même de surveiller les dispositifs externes. Pour reprendre l’exemple précédent, il est possible de savoir qui a connecté une clé USB précise, à quel moment et où.
Trop de données et pas assez de réponses
Pourtant, nous ne manquons pas de fonctions de surveillance des endpoints pour nous donner des réponses. Nous bénéficions d’une visibilité bien plus complète sur les attaques qu’à l’époque des plateformes de protection des endpoints (EPP) : des produits basés sur les signatures antivirus, mais sans aucune visibilité sur les malwares exécutés en mémoire, les déplacements latéraux, les malwares sans fichier ou les attaques zero day.
Mais tout le problème est là : les plateformes EPP peuvent protéger les endpoints, mais elles n’offrent aux entreprises aucune visibilité sur les menaces. Les outils EDR (Endpoint Detection and Response) de première génération ont été conçus pour offrir la visibilité dont les plateformes EPP étaient dépourvues. Cette première génération de solutions EDR, dite passive, est capable de fournir des données, mais pas de contexte. C’est un peu comme avoir toutes les pièces d’un puzzle sans aucune vue d’ensemble.
À l’aide d’une surveillance passive intégrée des endpoints, par exemple, nous pourrions constater que les journaux d’événements Windows ont détecté cette compromission par clé USB, qu’elle a entraîné l’exécution d’un script PowerShell à partir d’un clavier virtuel, que l’attaque peut avoir utilisé des techniques avancées, telle la suppression des journaux, qu’elle a installé un backdoor pour assurer sa persistance, qu’elle a ensuite volé des identifiants et s’en est servie pour effectuer une connexion, qu’elle a rencontré un échec de connexion à un moment donné, qu’elle a élevé des privilèges, effacé des journaux, ajouté un nouvel utilisateur local, puis l’a intégré à un groupe d’administrateurs, et ainsi de suite. Bonne chance pour vous y retrouver !
Une telle solution peut paraître performante lors d’une démonstration, mais qu’en est-il au quotidien ? Qui est capable d’interpréter correctement toutes ces informations ? Sans doute quelques analystes chevronnés et spécialisés en sécurité. Malheureusement, ils sont rares. Qui plus est, les pauvres ont bien le droit de se reposer de temps à autre. En d’autres termes, lorsqu’une attaque survient pendant la nuit, les cyberpirates vont bénéficier d’une durée d’implantation d’autant plus longue, avant que les analystes ne se mettent au travail et ne tentent de déchiffrer les événements et de déterminer les cibles, le responsable de l’attaque et le mode opératoire.
Ce qui intéresse le RSSI, ce n’est pas de disposer d’une masse d’informations détaillées mais décousues sur une attaque. Cela relève davantage de la partie de Cluedo : le coupable est-il le colonel Moutarde dans la bibliothèque ? Un prestataire avec une clé USB dans les bureaux de l’entreprise ? Un groupe cybercriminel externe financé par un État ? La menace a-t-elle déjà été neutralisée et, si c’est le cas, combien de temps est-elle restée active ? Qui, parmi les rares analystes que compte un centre SOC, analyse la profusion de données collectées par la solution EDR passive ?
Qu’entend-on par « intelligence artificielle comportementale » et quel est son rôle ?
Que se passe-t-il après une attaque ? L’histoire peut se dérouler de deux façons. La première — et la plus problématique — est celle où les analystes de sécurité doivent passer en revue toutes les alertes et anomalies générées par la solution EDR passive. Ces investigations prennent du temps et demandent un certain niveau d’expertise, une denrée rare lorsqu’on sait combien il est difficile de trouver, former et conserver du personnel possédant les compétences nécessaires à l’utilisation des plateformes de sécurité et le savoir-faire requis pour identifier les véritables exploits parmi une multitude de bugs aléatoires.
L’autre déroulement possible consiste à reconstituer l’attaque, en contextualisant toutes les données disparates pour en faire une narration logique et cohérente. Chez SentinelOne, cette approche est incarnée par la technologie ActiveEDR. Ce modèle comportemental piloté par intelligence artificielle évite à l’entreprise de devoir compter uniquement sur les compétences d’analystes, souvent rares, et fonctionne en continu, en enregistrant et en replaçant en contexte chaque événement survenu sur tous les équipements connectés au réseau.
Le moteur d’intelligence artificielle comportementale de SentinelOne crée ce que nous appelons une narration, ou une reconstitution de l’incident, soit une série d’empreintes qui permettent de retracer le déroulement de l’incident afin d’identifier le responsable de l’indicateur de compromission. C’est toujours une solution EDR, mais elle n’a plus ce rôle passif que vous lui connaissez. La fonction d’un EDR d’ancienne génération consiste à rechercher une activité isolée et à tenter de la mettre en corrélation avec une autre, puis encore une autre, et ainsi de suite. Cette approche laborieuse, exigeant un personnel hautement qualifié, tente de donner une image complète de la situation après coup.
Avec la technologie ActiveEDR de SentinelOne, c’est la machine qui fait le travail et non l’analyste. Elle surveille et contextualise chaque événement survenu sur un équipement et identifie les activités malveillantes en temps réel avant d’automatiser les réponses requises. Si et quand l’analyste souhaite intervenir, ActiveEDR lui permet de traquer facilement les menaces en autorisant des recherches complètes à partir d’un seul indicateur de compromission.
À la différence d’autres solutions EDR, ActiveEDR n’a pas besoin d’une connexion au cloud pour détecter une menace, et réduit de ce fait la durée d’implantation au délai d’exécution. L’agent intelligent installé sur chaque équipement n’a pas besoin d’une connexion au cloud pour prendre une décision. Il reconstitue constamment le déroulement de chaque incident survenu sur l’endpoint et s’il détecte un comportement malveillant, il peut non seulement neutraliser les processus et fichiers malveillants, mais aussi bloquer net la narration, voire l’inverser.
Pourquoi la fonctionnalité ActiveEDR est-elle plus efficace pour bloquer les attaques avec et sans fichiers ?
Les cybercriminels d’aujourd’hui ont trouvé le moyen de ne plus dépendre des fichiers et de ne laisser aucune empreinte, en utilisant des malwares sans fichier actifs en mémoire pour échapper à la détection à la plupart des solutions de sécurité, hormis les plus sophistiquées. Mais comme ActiveEDR suit le moindre événement, elle vous offre le moyen de détecter les cybercriminels qui, parfois, possèdent déjà des identifiants dans votre environnement et utilisent des tactiques LotL (Living-off-the-Land, ou l’utilisation de ressources existantes pour mener des attaques). Ce terme désigne des attaques sans fichier et sans malware qui utilisent des outils natifs et légitimes pour se fondre dans l’environnement réseau et se dissimuler parmi les processus légitimes pour exploiter les systèmes en toute impunité.
Intelligence artificielle comportementale – Scénario réel
Voici un scénario réel d’une telle attaque : la police vous appelle pour vous avertir que les identifiants de votre entreprise sont sur un site de partage public tel que Pastebin. Vous voulez savoir comment ils y ont atterri et vous effectuez une recherche au moyen du module de traque des menaces DeepVisibility. Optimisé par la technologie Storyline de SentinelOne, DeepVisibility permet aux utilisateurs de traquer rapidement les menaces en leur permettant de rechercher des références, dans ce cas-ci des références à Pastebin.
Avec Storyline, chaque agent intelligent autonome installé sur un endpoint crée un modèle de l’infrastructure de son endpoint et un comportement d’exécution en temps réel, et lui attribue un ID Storyline, c’est-à-dire un ID attribué à un groupe d’événement liés. En recherchant « Pastebin », vous trouverez un ID Storyline qui peut rapidement vous mener à tous les processus, fichiers, threads, événements et autres données correspondant à cette requête précise. DeepVisibility renvoie des données contextualisées complètes qui vous permettent de comprendre rapidement la cause d’une menace, y compris son contexte, ses relations et ses activités.
Chaque agent peut corriger les effets de l’attaque de l’endpoint sur lequel il est installé, soit automatiquement, soit manuellement ; il peut restaurer le système, le déconnecter du réseau ou exécuter un shell distant dans le système. L’opération peut être effectuée automatiquement, en pratiquement un seul clic. Elle ne prend que quelques secondes, ne dépend pas du cloud et ne nécessite pas le chargement de données aux fins d’analyse par des experts. Vous n’avez pas besoin non plus d’une solution d’analyse cloud puisque l’agent se charge de tout.
L’automatisation d’un maximum de tâches permet de résoudre plusieurs problèmes. D’une part, en identifiant les comportements malveillants, la solution détecte facilement les attaques basées sur des fichiers sans devoir utiliser de signatures. D’autre part, elle peut prévenir et prédire les attaques sans fichier.
La protection des endpoints de SentinelOne opère avant la phase d’exécution afin de bloquer l’attaque avant qu’elle ne produise ses effets, qu’il s’agisse d’un PDF ou d’un document Word infecté, ou de toute autre menace. La première étape consiste à analyser l’activité pour déterminer si elle est anormale. Si c’est le cas, la menace sera mise en quarantaine. Ensuite, si le code réussit le premier test et commence à s’exécuter, ActiveEDR entre en jeu. Ce mécanisme autonome de traque des menaces qui inclut les fonctions de détection et intervention de l’agent, recherche les comportements anormaux. Par exemple, il recherche des actions, telle l’ouverture d’un fichier Word par un utilisateur, qui ont entraîné l’exécution d’un script PowerShell pour récupérer un élément quelconque sur Internet. Dans la plupart des cas, il ne s’agit pas d’un comportement normal. ActiveEDR observe le comportement lors de son exécution et surveille tous les événements survenus dans le système d’exploitation comme une narration c’est-à-dire une série d’incidents liés, du début à la fin, même si ceux-ci se sont déroulés en l’espace d’une seconde, d’un mois, ou plus. La technologie évalue continuellement le comportement pour déterminer s’il devient malveillant à un moment donné.
La touche humaine, avec l’assistance de l’intelligence artificielle comportementale
C’est bien, mais cela ne suffit pas car aucune solution ne peut tout intercepter ou détecter. C’est là qu’intervient la traque des menaces d’ActiveEDR — la fonction qui fait toute la supériorité de SentinelOne en matière de détection des attaques avec ou sans fichier.
Imaginons que vous ayez identifié un équipement ayant communiqué à plusieurs reprises avec Pastebin. En cliquant sur l’ID Storyline dans la console SentinelOne, vous accédez à la narration de l’attaque, avec le contexte pertinent, un diagramme détaillé de l’origine de l’attaque et une arborescence chronologique des processus générés : ouverture d’un document, suivie de la création d’un script Windows PowerShell, lequel a généré sept autres processus. Storyline inclut même des arguments complets de ligne de commande dont les chercheurs ont besoin pour comprendre parfaitement l’attaque. La solution offre un contexte complet de l’attaque, produit non par toute une équipe d’intervention sur incident, mais au moyen d’un seule requête.
Il est clair qu’avoir sous la main un assistant piloté par intelligence artificielle — en l’occurrence un agent intelligent installé sur chaque équipement connecté au réseau — vous permet de gagner un temps précieux. Il évite à l’entreprise de devoir compter uniquement sur des ressources humaines pour analyser des événements qui sont finalement insignifiants.
Vous pouvez dormir tranquille, nous assurons vos arrières
N’est-il pas temps d’arrêter d’agir dans l’urgence ? Aujourd’hui, c’est possible.
L’intelligence artificielle comportementale peut être configurée pour limiter automatiquement les risques, ce qui change véritablement la donne. La technologie est capable de prendre une décision au niveau de l’équipement, sans passer par le cloud ou une intervention humaine, et d’indiquer à l’agent la marche à suivre. Si ActiveEDR est configuré pour la « détection », vous recevrez des avertissements contextualisés. En revanche, si vous le configurez pour la « protection », le document Word infecté sera tout simplement bloqué. Aucune intervention humaine n’est nécessaire. Lorsqu’un utilisateur tente d’ouvrir le fichier Word, la menace est détectée, bloquée et rapidement supprimée. Si ActiveEDR est configuré pour la protection, la reconstitution de l’attaque indiquera que celle-ci n’a pas pu aller bien loin : elle a été bloquée avant de pouvoir communiquer avec l’extérieur.
Étant donné qu’un agent intelligent d’analyse comportementale est incorporé à chaque endpoint, les comportements malveillants peuvent être immédiatement bloqués. Par la suite, si vous décidez qu’une activité ou processus ne méritait pas d’être bloqué, vous pouvez procéder sans problème à sa restauration. En outre, à la différence des individus, l’intelligence artificielle de SentinelOne, ActiveEDR, n’a pas besoin de sommeil et ne s’arrête pas à 17 heures.
La limitation automatique des risques pilotée par intelligence artificielle comportementale vous évite donc bien des tracas comme l’exfiltration de données, une publicité défavorable dans la presse et un appel des forces de police.
Si vous souhaitez en savoir plus sur l’intelligence artificielle comportementale de SentinelOne et découvrir comment elle peut vous aider à protéger votre entreprise, contactez-nous ou demandez une démonstration gratuite.