Vidéo: Impossible d'ouvrir App car le développeur ne peut pas être vérifié [Mac OS Catalina et +] (Novembre 2024)
La sécurité informatique est un enfer dangereux et coûteux. D'énormes sommes d'argent sont dépensées pour protéger les données et les réseaux de l'entreprise. Les hordes de méchants sont motivés à entrer par effraction et les conséquences en cas d'échec sont plus pénibles que le coût de la protection.
Pire encore, les méthodes actuelles utilisées par les responsables de la sécurité (CSO) pour traiter de la sécurité sont intrusives. Même si des outils de sécurité essentiels, tels que la protection des terminaux gérés, seront toujours nécessaires, chacun d'entre nous a déploré la difficulté de gérer les mots de passe, s'est inquiété des droits d'accès au logiciel dont il a besoin et s'est plaint des barrières entre nous et le travail à accomplir.. Si les procédures de sécurité fonctionnaient 100% du temps, cela ne poserait peut-être pas problème, mais hé, avez-vous remarqué combien d'infractions sont encore signalées? Moi aussi. Il suffit de regarder comment le nombre de violations de données par an a explosé dans ce graphique ci-dessous (par le blog d'analyse et de visualisation des données Sparkling Data). Le graphique montre les violations de données depuis 2009, classées par type d’industrie et le nombre de millions d’enregistrements compromis:
Source: 24 juillet 2016 ; Analyse des données de violation HIPAA ; Données pétillantes
Mais il y a aussi de bonnes nouvelles. Les mêmes technologies d'apprentissage automatique (ML) et les algorithmes d'analyse prédictive qui vous donnent des recommandations utiles sur les livres et alimentent votre intelligence d'affaires et votre visualisation de données en libre-service les plus avancées des outils sont en cours d'intégration dans les outils de sécurité informatique. Selon les experts, vous ne dépenserez probablement pas moins d'argent pour la sécurité informatique de votre entreprise, mais au moins votre personnel travaillera plus efficacement et aura une meilleure chance de trouver des pirates informatiques et des logiciels malveillants avant que des dommages ne soient causés.
La combinaison de la sécurité informatique et du ML peut certes être qualifiée de "technologie émergente", mais ce qui la rend intéressante, c'est que nous ne parlons pas d'une seule technologie. ML est composé de plusieurs types de technologies, chacune appliquée de différentes manières. Et comme de nombreux fournisseurs travaillent dans ce domaine, nous observons toute une nouvelle catégorie de technologies concurrencer, évoluer et, espérons-le, nous apporter des avantages.
Alors, qu'est-ce que l'apprentissage automatique?
ML permet à un ordinateur d’apprendre quelque chose sans avoir à être explicitement programmé. Pour ce faire, il accède à de grands ensembles de données, souvent volumineux.
"Grâce à l'apprentissage automatique, nous pouvons donner à l'ordinateur 10 000 images de chats et lui dire:" Voilà à quoi ressemble un chat. " Vous pouvez ensuite donner à l'ordinateur 10 000 photos sans étiquette et lui demander de déterminer lesquelles sont des chats ", explique Adam Porter-Price, associé principal chez Booz Allen. Le modèle s'améliore au fur et à mesure que vous donnez des informations au système, que son estimation soit correcte ou non. Au fil du temps, le système devient plus précis pour déterminer si la photo comprend un chat (comme toutes les photos le devraient, bien sûr).
Ce n’est pas une toute nouvelle technologie, bien que les progrès récents en matière d’ordinateurs plus rapides, de meilleurs algorithmes et d’outils Big Data aient certainement amélioré les choses. "L'apprentissage automatique (en particulier dans la modélisation des comportements humains) existe depuis longtemps", a déclaré Idan Tendler, PDG de Fortscale. "C'est un élément essentiel des aspects quantitatifs de nombreuses disciplines, allant des tarifs aériens aux sondages politiques en passant par les sondages politiques, depuis les années 1960".
Les utilisations modernes les plus évidentes et les plus reconnaissables sont les efforts de marketing. Lorsque vous achetez un livre sur Amazon, par exemple, ses moteurs de recommandation exploitent les ventes précédentes et suggèrent des livres supplémentaires que vous apprécierez probablement (par exemple, ceux qui ont aimé Yendi de Steven Brust peuvent également aimer les romans de Jim Butcher), ce qui se traduit par une augmentation des ventes de livres. C'est appliqué ML juste là. Un autre exemple pourrait être une entreprise qui utilise ses données de gestion de la relation client (CRM) pour analyser le désistement de la clientèle ou une compagnie aérienne qui utilise ML pour analyser le nombre de points de récompense incitant les voyageurs fréquents à accepter une offre particulière.
Plus un système informatique recueille et analyse de données, meilleures sont ses connaissances (et son identification par photo de chat). De plus, avec l'avènement du Big Data, les systèmes ML peuvent regrouper des informations provenant de plusieurs sources. Un détaillant en ligne peut aller au-delà de ses propres ensembles de données pour inclure une analyse des données du navigateur Web du client et des informations des sites partenaires, par exemple.
ML prend des données trop compréhensibles pour l'homme (telles que des millions de lignes de fichiers de réseau ou un nombre considérable de transactions de commerce électronique) et les transforme en quelque chose de plus facile à comprendre, a déclaré Balázs Scheidler, CTO de l'éditeur d'outils de sécurité informatique Balabit.
"Les systèmes d'apprentissage automatique reconnaissent les modèles et soulignent les anomalies, ce qui aide les êtres humains à comprendre une situation et, le cas échéant, à y remédier", a déclaré Scheidler. "Et l'apprentissage automatique effectue cette analyse de manière automatisée; vous ne pouvez pas apprendre les mêmes choses simplement en regardant uniquement les journaux de transactions."
Où les faiblesses de sécurité des correctifs ML
Heureusement, les mêmes principes ML qui peuvent vous aider à choisir un nouvel achat de livres peuvent renforcer la sécurité de votre réseau d'entreprise. En fait, a déclaré Tendres de Fortscale, les fournisseurs informatiques sont un peu en retard par rapport à la partie ML. Les départements marketing pouvaient voir des avantages financiers dans l'adoption précoce du BC, notamment parce que le coût de l'erreur était minime. Recommander le mauvais livre ne détruit le réseau de personne. Les spécialistes de la sécurité avaient besoin de plus de certitude à propos de la technologie et il semble qu'ils l'aient enfin.
Franchement, il est temps. Parce que les moyens actuels de gestion de la sécurité sont intrusifs et réactifs. Pire: le volume considérable de nouveaux outils de sécurité et d’outils de collecte de données disparates a entraîné trop d’informations, même pour les observateurs.
"La plupart des entreprises sont inondées de milliers d'alertes par jour, largement dominées par de faux positifs", a déclaré David Thompson, directeur principal de la gestion des produits chez LightCyber, société de sécurité informatique. "Même si l'alerte était vue, elle serait probablement considérée comme un événement singulier et ne serait pas comprise comme faisant partie d'une attaque plus grande et orchestrée."
Thompson cite un rapport de Gartner selon lequel la plupart des attaquants ne sont pas détectés pendant une moyenne de cinq mois . Ting-Fang Yen, chercheur à DataVisor, a souligné que ces faux positifs risquaient de provoquer la colère des utilisateurs, à chaque fois que des employés sont bloqués ou signalés par erreur, sans parler du temps que l'équipe informatique consacre à la résolution des problèmes.
La première solution en matière de sécurité informatique utilisant ML consiste donc à analyser l'activité du réseau. Les algorithmes évaluent les modèles d'activité, en les comparant au comportement passé, et déterminent si l'activité en cours constitue une menace. Pour aider, des fournisseurs tels que Core Security évaluent des données réseau telles que le comportement de recherche DNS des utilisateurs et les protocoles de communication au sein de requêtes
Certaines analyses ont lieu en temps réel et d’autres solutions ML examinent des enregistrements de transaction et d’autres fichiers journaux. Par exemple, le produit de Fortscale cible les menaces internes, y compris les menaces qui impliquent des informations d'identification volées. «Nous nous concentrons sur les journaux d’accès et d’authentification, mais ceux-ci peuvent provenir de pratiquement n’importe où: Active Directory, Salesforce, Kerberos, vos propres« applications des joyaux de la couronne », a déclaré Tendler de Fortscale. "Plus il y a de variété, mieux c'est." Là où ML fait la différence, c'est qu'il peut transformer les journaux de maintenance modestes et souvent ignorés d'une organisation en sources d'informations utiles, très efficaces et peu coûteuses sur les menaces.
Et ces stratégies font une différence. Une banque italienne comptant moins de 100 000 utilisateurs a été confrontée à une menace interne impliquant une exfiltration à grande échelle de données sensibles vers un groupe d’ordinateurs non identifiés. Plus précisément, les informations d'identification des utilisateurs légitimes ont été utilisées pour envoyer de gros volumes de données en dehors de l'organisation via Facebook. La banque a déployé le système Darktrace Enterprise Immune basé sur ML, qui détectait un comportement anormal en moins de trois minutes lorsqu'un serveur de la société se connectait à Facebook, une activité inhabituelle, a déclaré Dave Palmer, directeur de la technologie chez Darktrace.
Le système a immédiatement émis une alerte de menace, ce qui a permis à l'équipe de sécurité de la banque de réagir. Une enquête a finalement conduit un administrateur système à télécharger par inadvertance un logiciel malveillant qui bloquait le serveur de la banque dans un botnet minier Bitcoin, un groupe de machines contrôlées par des pirates. En moins de trois minutes, la société a trié, mené une enquête en temps réel et a commencé sa réponse - sans perte de données ni dommage pour les services opérationnels des clients, a déclaré Palmer.
Surveillance des utilisateurs, pas du contrôle d'accès ou des périphériques
Mais les systèmes informatiques peuvent étudier n'importe quel type d'empreinte numérique. Et c'est ce qui attire le plus l'attention des fournisseurs ces jours-ci: vers la création de lignes de base du comportement "connu" par les utilisateurs d'une organisation, appelé User Behavior Analytics (UBA). Le contrôle d'accès et la surveillance des appareils ne vont que jusqu'à présent. Il est de loin préférable, disent plusieurs experts et fournisseurs, de placer les utilisateurs au centre de la sécurité, ce qui est la raison d'être de UBA.
"UBA est une façon de regarder ce que les gens font et de remarquer s'ils font quelque chose d'extraordinaire", a déclaré Scheidler de Balabit. Le produit (dans ce cas, Blindspotter et Shell Control Box de Balabit) crée une base de données numérique du comportement typique de chaque utilisateur, processus prenant environ trois mois. Par la suite, le logiciel reconnaît les anomalies de cette base. Le système ML crée un score du comportement "off" d'un compte d'utilisateur, ainsi que de la criticité du problème. Des alertes sont générées chaque fois que le score dépasse un seuil.
"Analytics essaye de décider si tu es toi-même", a déclaré Scheidler. Par exemple, un analyste de base de données utilise régulièrement certains outils. Ainsi, si elle se connecte depuis un emplacement inhabituel à une heure inhabituelle et accède à des applications inhabituelles pour elle, le système en conclut que son compte peut être compromis.
Les caractéristiques UBA suivies par Balabit incluent les habitudes historiques de l'utilisateur (temps de connexion, applications couramment utilisées et commandes), les possessions (résolution d'écran, utilisation du pavé tactile, version du système d'exploitation), le contexte (FAI, données GPS, localisation, compteurs de trafic réseau). et inhérence (quelque chose que vous êtes). Dans cette dernière catégorie figurent l’analyse des mouvements de la souris et la dynamique de frappe au clavier, le système mappant la force avec laquelle les doigts de l’utilisateur agissent sur le clavier.
Bien que fascinant en termes de geek, Scheidler avertit que les mesures de la souris et du clavier ne sont pas encore infaillibles. Par exemple, a-t-il déclaré, l'identification des frappes au clavier est fiable à environ 90%, de sorte que les outils de la société ne reposent pas lourdement sur une anomalie dans cette zone. En outre, le comportement de l'utilisateur est légèrement différent tout le temps. si vous avez une journée stressante ou si vous avez mal à la main, les mouvements de la souris sont différents.
"Puisque nous travaillons avec de nombreux aspects du comportement des utilisateurs et que la valeur agrégée est celle à comparer au profil de base, sa fiabilité est très élevée et peut atteindre 100%", a déclaré Scheidler.
Balabit n'est certainement pas le seul fournisseur dont les produits utilisent UBA pour identifier les événements de sécurité. Cybereason, par exemple, utilise une méthodologie similaire pour identifier un comportement qui fait dire à un être humain attentif: "Hmm, c'est drôle."
Yonatan Streim Amit, CTO de Cybereason, explique: "Lorsque notre plateforme détecte une anomalie - James travaille tardivement - nous pouvons la corréler avec d'autres comportements connus et des données pertinentes. Utilise-t-il les mêmes applications et les mêmes modèles d'accès? Envoie-t-il des données à quelqu'un avec qui il ne communique jamais avec ou est-ce que toutes les communications vont à son manager, qui répond? " Cybereason analyse l'anomalie du travail anormal de James avec une longue liste d'autres données observées afin de fournir un contexte permettant de déterminer si une alerte est un faux positif ou une préoccupation légitime.
C’est le travail de l’informatique de trouver des réponses, mais il est certainement utile d’avoir un logiciel capable de poser les bonnes questions. Par exemple, deux utilisateurs d'un établissement de santé consultaient les dossiers de patients décédés. "Pourquoi quelqu'un regarderait-il des patients qui sont décédés il y a deux ou trois ans, à moins que vous ne souhaitiez commettre une fraude d'identité ou une fraude médicale?" demande Amit Kulkarni, PDG de Cognetyx. En identifiant ce risque de sécurité, le système Cognetyx a identifié l'accès inapproprié en fonction des activités normales de ce service et a comparé le comportement des deux utilisateurs à celui des modèles d'accès de leurs pairs et à leur propre comportement normal.
"Par définition, les systèmes d'apprentissage automatique sont itératifs et automatisés", a déclaré Tendler de Fortscale. "Ils cherchent à" faire correspondre "les nouvelles données à ce qu'ils ont vu auparavant, mais ne" disqualifient "rien de ce qui est incontrôlable ou ne" jetteront "pas automatiquement les résultats inattendus ou hors limites."
Les algorithmes de Fortscale recherchent donc des structures cachées dans un ensemble de données, même s'ils ne savent pas à quoi ressemble la structure. "Même si nous trouvons l'inattendu, il fournit une base sur laquelle potentiellement créer une nouvelle carte de motif. C'est ce qui rend l'apprentissage machine tellement plus puissant que les ensembles de règles déterministes: les systèmes d'apprentissage automatique peuvent trouver des problèmes de sécurité jamais vus auparavant."
Que se passe-t-il lorsque le système ML détecte une anomalie? Généralement, ces outils transmettent des alertes à un humain pour qu'il effectue un dernier appel d'une manière ou d'une autre, car les effets secondaires d'un faux positif sont dommageables pour l'entreprise et ses clients. "Le dépannage et l'expertise médico-légale nécessitent une expertise humaine", affirme Scheidler de Balabit. L'idéal est que les alertes générées soient précises et automatisées, et les tableaux de bord donnent un aperçu utile de l'état du système avec la possibilité d'explorer le comportement "hé, c'est bizarre".
Source: Balabit.com (Cliquez sur le graphique ci-dessus pour la voir.)
C'est juste le début
Ne présumez pas que ML et la sécurité informatique sont parfaitement compatibles avec le chocolat et le beurre de cacahuète ou les chats et Internet. Il s'agit d'un travail en cours, même s'il gagnera en puissance et en utilité à mesure que les produits gagneront en fonctionnalités, en intégration d'applications et en améliorations techniques.
À court terme, recherchez les progrès de l'automatisation afin que les équipes de sécurité et d'exploitation puissent obtenir de nouvelles informations plus rapidement et avec moins d'intervention humaine. Mike Paquette, vice-président des produits chez Prelert, a déclaré: "Nous prévoyons des avancées sous deux formes: une bibliothèque étendue de cas d'utilisation préconfigurés identifiant les comportements d'attaque, et des avancées dans la sélection et la configuration automatisées de la nécessité d'engager des consultations."
Les prochaines étapes sont des systèmes d’autoapprentissage capables de lutter seuls contre les attaques, a déclaré Palmer de Darktrace. "Ils réagiront aux risques émergents liés aux programmes malveillants, aux pirates informatiques ou aux employés mécontents de manière à comprendre le contexte complet du comportement normal des périphériques individuels et des processus métier dans leur ensemble, plutôt que de prendre des décisions individuelles binaires comme les défenses traditionnelles. Ce sera crucial. répondre à des attaques plus rapides, telles que des attaques basées sur l'extorsion, qui se transformeront en une attaque de tout élément précieux (pas uniquement des systèmes de fichiers) et seront conçues pour réagir plus rapidement que ne le permettent les êtres humains."
C'est un domaine passionnant avec beaucoup de promesses. La combinaison de ML et d'outils de sécurité avancés donne aux professionnels de l'informatique de nouveaux outils, mais surtout des outils leur permettant de faire leur travail avec plus de précision, tout en restant plus rapide que jamais. Bien que ce ne soit pas une solution miracle, il s'agit d'un pas en avant significatif dans un scénario dans lequel les méchants ont tous les avantages depuis bien trop longtemps.
