Fermer

septembre 24, 2024

Équiper les chasseurs de menaces : analyses avancées et IA – Partie 2

Équiper les chasseurs de menaces : analyses avancées et IA – Partie 2


Si vous travaillez dans le domaine de la cybersécurité, vous ne pouvez ignorer les signes avant-coureurs d’une menace imminente. De nouvelles cybermenaces, adversaires et outils de piratage émergent quotidiennement, tous plus avancés les uns que les autres. Le volume de données de cybersécurité monte en flèche, submergeant les professionnels de bruit. Pendant ce temps, le nombre de défenseurs diminue, tandis que le côté obscur se renforce grâce au soutien du crime organisé et du financement de l’État. Qu’est-ce qui pourrait sauver le monde ? Les super-héros, bien sûr, mais derrière chaque super-héros à succès se cache un acolyte technologique – dans le cas des chasseurs de cybermenaces, un data scientist.

Ceci est le douzième article de notre série de blogs en cours « The Rise of the Threat Hunter ». Vous connaissez désormais bien nos super-héros, chasseurs de menaces. Pour en savoir plus sur la série et retrouver les posts précédents consultez notre introduction à la série ou lisez le message de la semaine dernière « Équiper les chasseurs de menaces : analyses avancées et IA, partie 1

Les data scientists parmi les chasseurs de menaces

Même si, à première vue, les data scientists peuvent sembler déplacés parmi les chasseurs de menaces, leurs compétences complémentaires peuvent élever une équipe de chasse aux menaces de bonne à exceptionnelle. La chasse aux cybermenaces implique bien plus que de simples compétences techniques et le respect de procédures. Cela nécessite un esprit d’analyse et d’investigation et une approche créative. Il est intéressant de noter que ce sont les mêmes compétences qui sont essentielles pour réussir en tant que data scientist. C’est l’une des raisons pour lesquelles les data scientists et les chasseurs de menaces travaillent si bien ensemble.

Les data scientists passent leurs journées à interagir avec les données, à découvrir des modèles cachés et des informations qui ne peuvent être trouvées par les méthodes traditionnelles. Ce sont des professionnels possédant une expertise diversifiée en informatique, en mathématiques, en statistiques et en apprentissage automatique. La collaboration entre les chasseurs de menaces et les data scientists est cruciale pour des enquêtes efficaces sur les cybermenaces. Les chasseurs de menaces identifient ce qu’il faut rechercher, tandis que les data scientists découvrent comment extraire ces signaux à partir de données vastes et complexes. Des problèmes correctement énoncés, ainsi que des données soigneusement nettoyées et préparées, peuvent donner accès à des informations sur les données à un tout nouveau niveau, inaccessible par la recherche et l’interrogation directes des données d’origine. Cela peut faire la différence entre rater le compromis ou le rattraper tôt dans son élan avant qu’aucun dommage ne soit causé.

Opérateur qualifié ou simple presseur de bouton

Les outils de cybersécurité ont changé. Les progrès continus ont considérablement amélioré à la fois la vitesse et l’efficacité en intégrant les dernières avancées technologiques telles que l’apprentissage automatique, la découverte d’actifs intelligents et la résolution d’entités. Cependant, ces progrès nous ont permis de constater une augmentation de la sophistication et de la complexité de la lutte contre les menaces.

Cela a rendu les outils de sécurité moins intuitifs et moins explicites. Et avec la complexité accrue, il existe un risque que les chasseurs de menaces, déjà très occupés, passent du statut d’opérateurs expérimentés d’outils avancés à de simples presseurs de boutons. Ce n’est pas parce qu’ils ne veulent pas apprendre l’outil, mais plutôt parce que la plupart des chasseurs de menaces n’ont pas le temps de se spécialiser sur un outil individuel de leur pile de sécurité.

Associer des data scientists et des chasseurs de menaces au sein d’une équipe de cyberdéfense pourrait bien résoudre ce problème. Les data scientists connaissent non seulement diverses méthodes pour extraire des informations des données, mais comprennent également en profondeur les faiblesses et les pièges courants de ces méthodes. Plus important encore, ils comprennent les faiblesses des données sur lesquelles ces méthodes sont appliquées et comment les surmonter.

Par exemple, regardons l’ingénierie des invites. La grammaire, la longueur, le ton et la structure des phrases peuvent faire la différence entre obtenir une réponse perspicace ou ne pas obtenir de réponse du tout. Pire encore que de ne pas obtenir de réponse, c’est d’obtenir une mauvaise réponse, également connue sous le nom d’hallucination. Les data scientists peuvent travailler avec les chasseurs de menaces pour concevoir de manière itérative des invites efficaces en utilisant leurs connaissances du domaine et des données. En équipe, les chasseurs de menaces et les data scientists peuvent générer efficacement des résultats de haute qualité.

Le problème de résolution d’entité

Un autre exemple de travail d’équipe efficace entre les chasseurs de menaces et les data scientists est la résolution d’entité, qui implique d’y associer tous les événements et comportements d’une seule entité. Ce problème se compose de deux parties. Tout d’abord, nous devons définir ce qui constitue une entité, notamment en déterminant le meilleur niveau de granularité et les méthodes de séparation. Deuxièmement, nous devons maximiser l’association entre une entité et toutes ses activités enregistrées dans diverses sources de données et représentations d’entité. Bien que cela puisse paraître simple, la manière dont les deux problèmes seront résolus aura un impact direct sur la qualité des résultats produits par les données.

Disons qu’une organisation dispose d’un administrateur système avec deux comptes. Un compte d’utilisateur régulier est utilisé pour les tâches quotidiennes et l’autre est leur compte administratif privilégié. Faut-il réunir ces deux comptes sous une seule entité ou les garder séparés ? Du point de vue d’un chasseur de menaces, les deux comptes appartiennent au même employé, il semble donc naturel de les rejoindre. Cependant, du point de vue de la science des données et de l’analyse comportementale, ces deux comptes ont des fonctions différentes, utilisent des processus différents, disposent d’autorisations différentes, transfèrent des volumes de données différents et ont même des modèles d’activité différents. De plus, lorsque leur comportement est comparé à celui de leurs pairs, pour de meilleurs résultats, le compte administratif doit être comparé à d’autres comptes administratifs et le compte utilisateur régulier doit être comparé à d’autres comptes utilisateur réguliers. Exécuter des scripts PowerShell qui ajoutent ou suppriment des utilisateurs ou augmentent les privilèges des utilisateurs est tout à fait normal pour un administrateur, mais extrêmement anormal pour un utilisateur ordinaire.

Intégrer la science des données dans le processus de chasse aux menaces

À ce stade, j’espère que vous êtes convaincu que votre équipe de chasse aux menaces a besoin de data scientists. Il existe plusieurs options pour en acquérir un : vous pouvez embaucher un nouveau membre de votre équipe de science des données, faire appel à des consultants externes en science des données ou à des services payants, ou développer les talents parmi les membres actuels de votre équipe de cybersécurité. Une fois votre équipe multidisciplinaire constituée, elle peut commencer par s’attaquer à un cas d’utilisation à la fois. L’expertise diversifiée au sein de votre équipe constituera un avantage, car les idées de solutions et de cas d’utilisation proviendront à la fois des chasseurs de menaces et des data scientists de votre équipe de cyberdéfense.

D’après mon expérience de travail avec notre équipe de chasse aux menaces, les professionnels de la chasse aux menaces apportent généralement des détails sur les cas d’utilisation qu’ils voient sur le terrain ainsi que les méthodes qu’ils utilisent pour y faire face. Une fois que les chasseurs de menaces ont décrit les subtilités du cas d’utilisation, les méthodes utilisées pour la détecter et les limites des outils actuellement disponibles, les data scientists peuvent se plonger dans les données. Ils considèrent divers aspects du problème et des données disponibles, l’abordant parfois comme un problème mathématique ou logique. Cela crée une base pour réfléchir à de nouvelles méthodes de détection, les tester et les valider, et finalement intégrer ces nouvelles solutions de manière permanente dans l’arsenal des défenseurs de première ligne.

Un membre de l’équipe de science des données peut également proposer un nouveau cas d’utilisation basé sur de nouveaux algorithmes, méthodes de calcul ou sources de données. Lorsque cela se produit, les data scientists partagent leurs découvertes avec les chasseurs de menaces et, ensemble, ils réfléchissent pour déterminer si les découvertes ont de la valeur et comment ils peuvent améliorer les solutions actuelles. Par exemple, l’équipe de science des données a pu remarquer que les entrées de ligne de commande présentent des modèles similaires à ceux du langage naturel et suggérer aux chasseurs de menaces d’utiliser des modèles basés sur le langage pour découvrir les attaques de reconnaissance. Grâce à une étroite collaboration avec les chasseurs de menaces, une nouvelle méthode efficace de découverte de la reconnaissance en ligne de commande est développée, l’idée étant testée et évaluée à travers de multiples itérations.

Conclusion

Les data scientists aident les équipes de chasse aux menaces à travailler plus intelligemment, et non plus dur, et peuvent, s’ils sont bien intégrés et correctement impliqués, contribuer à réduire le fardeau qui pèse sur les épaules de nos super-héros chasseurs de menaces. Les idées qui circulent entre tous les membres de l’équipe au cours de plusieurs cycles se développent naturellement, améliorant ainsi la couverture du vaste éventail de cas d’utilisation de la cybersécurité. Un tel flux d’idées ne devrait jamais s’arrêter, car cette course pour sécuriser une organisation n’est jamais terminée et l’équipe des défenseurs n’est jamais « terminée », mais c’est là le défi et la beauté de ce métier.

En savoir plus sur la cybersécurité OpenText

Prêt à offrir à votre équipe de chasse aux menaces des produits, des services et des formations pour protéger vos informations les plus précieuses et les plus sensibles ? Vérifier notre portefeuille de cybersécurité pour un portefeuille moderne de solutions de sécurité complémentaires qui offrent aux chasseurs de menaces et aux analystes de sécurité une visibilité à 360 degrés sur les points finaux et le trafic réseau pour identifier, trier et enquêter de manière proactive sur les comportements anormaux et malveillants.




Source link