Comment le deep learning peut retenir le flot de faux positifs ?

25 novembre 20217 min

À cause de la complexité de l’environnement informatique actuel, les cybercriminels ont à leur disposition un large choix d’outils, de scénarios pour initier une attaque. Pour contrer ces menaces, les entreprises doivent surveiller en permanence l’ensemble de leurs environnements informatiques à l’aide de diverses solutions de sécurité comme le deep learning.

Ceci est une légende Alt

Les alertes générées par ces outils arrivent le plus souvent dans la boîte de réception d’analystes de centres d’opérations de sécurité (SOC) extrêmement surchargés, qui doivent ensuite les évaluer manuellement.

Dans de nombreux cas, les outils de gestion des informations et des événements de sécurité (SIEM) qui regroupent les données sur les menaces et les transforment en alertes ne fournissent que peu de contexte, ce qui oblige les équipes à essayer de suivre un déluge constant d’alertes sans aucun moyen de les hiérarchiser.

Les équipes reçoivent souvent des milliers d’alertes par jour, bien plus qu’il n’est humainement possible d’en traiter.

Le problème des « faux positifs »

Ce problème est aggravé par le fait que la plupart, voire la totalité, de ces alertes s’avèrent être des faux positifs.

Les faux positifs sont des alertes qui ne correspondent pas à une menace réelle pour l’organisation. Ils sont généralement dus au fait que l’outil d’analyse n’est pas suffisamment fidèle ou que des indicateurs légitimes ressemblent de près à des signatures de menaces connues.

Les faux positifs constituent une crise croissante pour de nombreuses organisations, augmentant leur exposition au risque et consommant une quantité disproportionnée de temps et de ressources précieuses.

Quelle est l’ampleur du problème et que peut-on faire pour y remédier ?

La croissance des alertes

Les entreprises se noient dans le traitement des flots croissants d’alertes, dont la plupart sont des faux positifs.

600 décideurs et praticiens de la sécurité ont d’ailleurs été interrogés à ce sujet (d’après le rapport « Voice of SecOps » de Deep Instinct, juin 2021). Et la plupart ont indiqué qu’en moyenne 10 heures sur 39 dans une semaine de travail étaient consacrées au traitement des faux positifs… Ce qui signifie qu’environ un quart de la semaine est gaspillé en travail manuel fastidieux qui ne génère aucune valeur réelle.

Les véritables alertes aux menaces peuvent rapidement se perdre dans d’innombrables fausses alarmes. Le retard ainsi créé est souvent si important qu’il peut s’écouler plusieurs jours avant qu’une alerte ne soit évaluée par un membre de l’équipe SOC.

Dans le cas d’une alerte réelle fournissant les premiers signes d’une attaque sérieuse, cela signifie que les acteurs de la menace auront le champ libre dans les environnements pendant de longues périodes.

La fatigue des alertes

Outre le risque de sécurité plus évident, cette situation favorise également un environnement de travail extrêmement négatif pour le personnel de sécurité. 90 % des personnes interrogées dans le cadre de cette enquête* ont déclaré que les faux positifs contribuaient à la démoralisation du personnel.

En effet, les analystes passent une grande partie de la journée à effectuer un travail manuel répétitif et de faible valeur. Une équipe démoralisée est également plus susceptible de passer à côté de menaces réelles. Ce que l’on appelle souvent la fatigue des alertes.

La fatigue des alertes est l’une des principales causes du problème de l’épuisement professionnel dans le secteur de la sécurité, et il est courant de constater que les analystes ne restent dans une fonction que 12 à 24 mois avant de chercher un autre emploi ou de quitter complètement le secteur.

Se tourner vers l’automatisation

Il est clair que le problème des faux positifs ne peut être résolu par la seule action humaine. Il s’agit d’un cas d’école pour les capacités d’analyse de l’intelligence artificielle (IA), et en effet, un nombre croissant de SOC soutiennent désormais leurs analystes humains avec des outils automatisés.

Des recherches indiquent que des outils tels que l’IA, le machine learning (ML) et le deep learning (DL) peuvent réduire considérablement le nombre de faux positifs et améliorer les chances d’identifier des menaces inconnues.

Le machine learning

La forme la plus répandue d’IA actuellement utilisée est le machine learning, qui consiste à entraîner un outil sur des données d’attaque jusqu’à ce qu’il puisse reconnaître des modèles et des indicateurs de menace de manière indépendante.

Une solution de machine learning peut analyser rapidement de grands volumes de données d’alerte sur les menaces, évitant aux analystes humains des heures de travail fastidieux et peu gratifiant.

Les outils automatisés peuvent filtrer les faux positifs et laisser l’équipe s’occuper des véritables menaces. D’autres processus peuvent également être automatisés afin que les alertes réelles mais de faible niveau puissent être traitées, sans intervention humaine.

Une automatisation alimentée par l’IA bien appliquée peut à la fois réduire l’exposition au risque de l’entreprise et donner un puissant coup de fouet au moral et à la productivité de l’équipe SOC.

Les limites du machine learning

Si la plupart des organisations utilisent actuellement le machine learning pour alimenter leurs analyses et automatiser les processus de sécurité, il présente plusieurs failles que les criminels commencent à exploiter.

En particulier, les outils traditionnels de machine learning sont susceptibles d’être manipulés avec des ensembles de données “empoisonnées” créés par un autre outil d’apprentissage automatique. Ces ensembles alimentent la solution en “mauvaises données”, l’entraînant subtilement à ignorer les véritables données de menace et à créer des faux négatifs derrière lesquels les attaquants peuvent se cacher.

Les outils de Machine Learning sont aussi généralement tributaires des flux de données provenant des outils anti-virus, de détection et de réponse aux points d’accès (EDR) et d’autres outils de sécurité.

Cela signifie qu’ils ne peuvent que réagir aux menaces, plutôt que de les prévoir, ce que les adversaires sont de plus en plus capables d’exploiter avec des attaques conçues pour faire leurs dégâts avant qu’elles ne puissent être détectées.

Le deep learning est l’avenir

Ces failles sont résolues par le deep learning (DL). Bien qu’il partage le même principe de base que le ML, le DL va encore plus loin puisqu’il est capable de prendre des décisions non supervisées permettant d’identifier les fichiers comme bénins ou malveillants de manière autonome.

La solution commence par former des centaines de millions de fichiers bruts jusqu’à ce qu’elle puisse différencier les bonnes données des mauvaises de manière indépendante. Une fois appliquée à une pile de sécurité, cela lui permet d’aller au-delà de la simple réaction aux ensembles de données entrants et de commencer à anticiper le comportement des menaces.

Associé à cette capacité d’analyse prédictive, le deep learning a une vitesse de traitement fulgurante et peut identifier une violation potentielle en moins de 20 millisecondes, ce qui signifie que le nombre d’alertes reçues est réduit et que le risque de faux positifs est considérablement réduit.

Les bénéfices du deep learning

Les entreprises qui souhaitent commencer à incorporer le deep learning dans leur stratégie de sécurité doivent examiner attentivement la manière dont la solution va interagir avec les processus existants, en déterminant ce qui sera amélioré et ce qui devra probablement être remplacé.

Une fois la technologie correctement intégrée dans la pile de sécurité, les équipes SOC bénéficieront d’une réduction immédiate du volume de faux positifs et d’autres alertes de bas niveau qui occupent leurs journées.

Mieux encore, l’entreprise sera en mesure de passer de la réaction aux attaques entrantes à la prédiction proactive et à l’arrêt de celles-ci avant qu’elles ne commencent. L’assaut des attaques ne montrant aucun signe de cessation, les entreprises devraient chercher à préparer l’avenir de leurs opérations pour se donner une chance de lutter contre les attaques connues et inconnues.

La nature proactive du deep learning pourrait leur donner le bouclier dont elles ont tant besoin pour dévier les attaques paralysantes qui se dirigent vers elles.

Guillaume Maguet

Guillaume Maguet

Chargé du développement technique de l’Europe du Sud chez Deep Instinct, startup américaine spécialisée dans la prévention des menaces cyber.

---

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.