Sécurité informatique

IA comportementale : la meilleure façon de protéger votre réseau d’entreprise

Comme de nombreuses attaques commencent sur les endpoints, il est essentiel d’avoir une bonne visibilité sur ces endpoints. Une enquête du SANS Institute réalisée en 2018 montre que 42% des répondants ont connu au moins un incident d’abus d’endpoint ayant entraîné une fuite ou un vol de données, ou une interruption de l’activité.

En outre, le chiffrement ne gêne pas la visibilité au niveau des endpoints. Les endpoints sont des points où l’activité réseau et les processus sont visibles et où l’on peut même effectuer une surveillance à distance des appareils. Vous pouvez ainsi découvrir, par exemple, qui a branché cette clé USB, quand et où.

Notre solution EDR (endpoint detection and response) analyse les comportements potentiellement étranges sur TOUS vos appareils, y compris vos terminaux mobiles. Elle protège ainsi l’ensemble du réseau de l’entreprise. Proactivement et en temps réel.

Les logiciels antivirus traditionnels (AV) ne suffisent plus.
L’Endpoint Detection and Response (EDR) est une solution de sécurité qui réagit en continu et en temps réel aux attaques de type zero-day.

Passez dès maintenant avantageusement de l’AV à l’EDR.

Trop de données, pas assez de réponses

Ce n’est pas que nous manquions d’outils de surveillance des endpoints capables de nous fournir des réponses. Nous disposons aujourd’hui de bien plus de visibilité sur les cyberattaques qu’à l’époque des EPP (Endpoint Protection Platforms). Ces produits se basaient sur des signatures et restaient aveugles aux malwares en mémoire, aux mouvements latéraux, aux malwares sans fichiers ou aux attaques zero-day.

Le problème est le suivant: l’EPP protège les endpoints, mais ne donne pas de visibilité sur les menaces aux organisations. Les premières générations d’outils EDR (endpoint detection and response) sont nées du besoin de visibilité que les EPP ne pouvaient offrir. Cette génération d’EDR, que l’on peut qualifier de passive, fournit des données, mais pas de contexte. Nous recevons les pièces du puzzle, sans l’image qui montre comment les assembler.

Si vous regardez un exemple typique de surveillance passive intégrée sur un endpoint, vous pourriez voir que les journaux d’évènements Windows ont enregistré qu’une session PowerShell a été lancée via un clavier virtuel après l’insertion d’une clé USB. Vous pourriez voir que l’attaque a utilisé des techniques avancées, comme l’effacement des journaux. Qu’une backdoor a été installée pour conserver l’accès. Que des identifiants ont été volés et utilisés pour se connecter. Que, à un moment donné, une tentative de connexion a échoué. Que les privilèges ont été augmentés. Que des journaux ont été effacés. Qu’un nouvel utilisateur local a été créé et ajouté à un groupe Admin, et ainsi de suite. Essayez donc de démêler tout cela.

Dans une démo, cela peut paraître impressionnant, mais qu’en est-il au quotidien? Qui peut réellement tirer des conclusions claires de tout cela? Peut-être quelques analystes sécurité très expérimentés. Mais ils sont rares. Et ils doivent eux aussi dormir de temps en temps. Si une attaque a lieu en pleine nuit, les attaquants disposent de précieuses heures avant que les analystes ne reviennent au travail et ne commencent à analyser le quoi, le où, le comment et le quand.

Un CISO ne s’intéresse pas à chaque donnée isolée liée à une attaque. Il cherche plutôt à résoudre une enquête, comme dans un Cluedo. Qui est responsable: colonel van Geelen, un intérimaire avec une clé USB ou un groupe financé par un État? La menace est-elle déjà stoppée et, si oui, depuis combien de temps est-elle active? Lequel des rares analystes du SOC va analyser ce flux massif de données provenant d’un EDR passif?

Qu’est-ce que l’IA comportementale et comment peut-elle aider?

Que se passe-t-il après une attaque? Le récit peut prendre deux directions. La première, la plus problématique, vous la connaissez probablement. Les analystes sécurité doivent passer au crible toutes les alertes, notifications et anomalies générées par un EDR passif. Ces enquêtes demandent beaucoup de temps et un haut niveau de compétences. Ces compétences sont rares. Vous savez à quel point il est difficile de recruter, former et fidéliser les bons profils. Peu de personnes possèdent l’expertise nécessaire pour exploiter les plateformes de sécurité et distinguer les bugs anodins des véritables intrusions.

Mais l’histoire peut aussi prendre une autre direction. Celle des “storylines” : la mise en contexte de tous les points de données isolés dans un récit concis. SentinelOne appelle ce modèle ActiveEDR, un modèle d’IA comportementale qui empêche l’organisation de dépendre entièrement de quelques analystes et qui fonctionne 24h/24. Ce modèle enregistre en continu tout ce qui se passe sur chaque appareil en contact avec le réseau et replace ces événements dans leur contexte.

Le moteur d’IA comportementale de SentinelOne crée ce que nous appelons des Storylines. Une Storyline est un ensemble de traces qui permet aux organisations de remonter un incident pour identifier qui est à l’origine d’un IOC, un Indicator of Compromise. C’est toujours de l’EDR, mais ce n’est pas l’EDR passif que vous connaissez peut-être. Dans l’ancien modèle, on cherche une activité isolée, puis on tente de la relier à une autre, puis à une autre, etc. C’est un exercice long, chronophage et spécialisé, mené a posteriori pour reconstituer le tableau complet.

Avec la technologie ActiveEDR de SentinelOne, c’est l’ordinateur qui fait le travail à la place de l’analyste. La technologie suit et contextualise tout ce qui se passe sur un appareil, identifie les activités malveillantes en temps réel et applique automatiquement les réponses nécessaires. Si et quand l’analyste souhaite intervenir, il peut avec ActiveEDR traquer les menaces en lançant une recherche détaillée à partir d’un seul indicateur de compromission.

Contrairement à d’autres solutions EDR, ActiveEDR ne dépend pas de la connectivité cloud pour détecter les menaces. Le temps de présence d’un attaquant est ainsi réduit à la durée d’exécution. L’agent IA sur chaque appareil n’a pas besoin du cloud pour prendre une décision. L’agent crée en permanence des récits de ce qui se passe sur l’endpoint et, en cas de comportement malveillant, il peut non seulement arrêter les fichiers et processus concernés, mais aussi mettre fin à toute la Storyline et même la restaurer automatiquement.

Pourquoi ActiveEDR arrête-t-il mieux les attaques avec ou sans fichiers?

Les cybercriminels modernes ont trouvé des moyens de ne plus dépendre des fichiers. Ils ne laissent plus de traces sur le disque et utilisent des malwares en mémoire pour rester invisibles pour la plupart des solutions de sécurité. Seules les solutions les plus avancées détectent ce type d’attaques. Comme ActiveEDR enregistre tout, vous pouvez détecter des attaquants qui disposent déjà d’identifiants dans votre environnement et qui pratiquent le “Living off the Land” (LotL). Ce terme désigne des attaques sans fichiers ni malwares, où les criminels détournent les outils légitimes du système pour exécuter leurs actions. Ils se fondent dans le réseau et se cachent parmi les processus légitimes pour mener leurs activités malveillantes en toute discrétion.

IA comportementale : un scénario réel

Le scénario suivant illustre le fonctionnement de cette approche. La police vous appelle pour vous informer que vos identifiants se trouvent sur Pastebin. Vous voulez savoir comment ils ont atterri là, et vous lancez une recherche dans le module de threat hunting Deep Visibility. Deep Visibility affiche les Storylines générées par SentinelOne. Comme les utilisateurs peuvent rechercher toutes les références pertinentes, ici les références à Pastebin , les menaces peuvent être identifiées rapidement.

Avec Storyline, chaque agent IA autonome sur les endpoints crée un modèle de l’infrastructure de son endpoint et de son comportement pendant l’exécution en temps réel. Un Storyline ID est attribué à cet ensemble d’événements. Il s’agit d’un identifiant pour un groupe d’événements liés. En recherchant « Pastebin », vous trouverez un Storyline ID qui vous renvoie directement à tous les processus, fichiers, threads, événements et autres données liés à cette requête. Deep Visibility renvoie des données complètes et contextualisées qui vous donnent rapidement un aperçu de la cause profonde de la menace, avec tout le contexte, les relations et les activités associées.

Chaque agent peut ensuite, automatiquement ou manuellement, nettoyer après une attaque, restaurer le système, déconnecter l’appareil du réseau ou ouvrir une session distante sur le système. Tout cela peut se faire automatiquement ou en un clic. Cela ne prend que quelques secondes, ne dépend pas du cloud et ne nécessite pas de transfert de données pour analyse humaine. L’analyse cloud devient superflue puisque tout se déroule au niveau de l’agent.

En automatisant un maximum de tâches, plusieurs problèmes sont résolus. Les attaques basées sur des fichiers peuvent être identifiées sans signatures, car le comportement malveillant est reconnu. Et les attaques sans fichiers peuvent être anticipées et empêchées.

La protection des endpoints de SentinelOne intervient déjà avant l’exécution. Une attaque est arrêtée avant qu’elle ne s’exécute via un pdf, un document Word ou tout autre fichier piégé. La première étape consiste à analyser la situation et à déterminer si quelque chose semble suspect. Le cas échéant, le fichier est mis en quarantaine. Si le code passe ce premier filtre et commence à s’exécuter, ActiveEDR entre en scène. Ce mécanisme autonome et automatisé de détection des menaces – avec détection et réaction dans l’agent – recherche les comportements étranges et anormaux. Par exemple, quelqu’un ouvre Word, ce qui déclenche PowerShell, qui télécharge ensuite quelque chose depuis internet. Ce n’est généralement pas un comportement bénin. ActiveEDR observe le comportement pendant l’exécution et enregistre tout ce qui se passe dans le système d’exploitation sous forme de récits, du début à la fin, qu’il s’agisse d’une seconde, d’un mois ou plus. La technologie évalue en continu ce comportement pour vérifier si quelque chose tourne mal.

Le rôle de l’humain, soutenu par l’IA comportementale

Tout cela est très puissant, mais ce n’est pas suffisant, car personne ne peut tout détecter. C’est pourquoi ActiveEDR intègre des fonctions de threat hunting. C’est l’une des fonctionnalités qui font de SentinelOne une solution supérieure pour les attaques avec ou sans fichiers.

Supposons que vous ayez identifié un appareil qui a communiqué plusieurs fois avec Pastebin. En cliquant sur le Storyline ID dans la console SentinelOne, vous accédez au récit complet de l’attaque. Vous y voyez tout le contexte pertinent, un schéma global de l’origine de l’attaque et une chronologie de l’arborescence des processus avec tous les processus concernés. Un document Microsoft Word a été ouvert.
Cela a déclenché une session Windows PowerShell. Celle-ci a lancé sept autres processus. Les Storylines contiennent même les arguments complets de la ligne de commande, dont les enquêteurs ont besoin pour comprendre l’attaque en profondeur. Elles offrent le contexte complet de l’attaque, sans qu’une équipe entière d’incident response ne doive assembler toutes les pièces, mais à partir d’une seule requête.

Un assistant IA, et plus encore un agent IA présent sur chaque appareil connecté au réseau, permet de gagner énormément de temps. L’organisation ne dépend plus entièrement de personnes qui analysent des événements qui, parfois, ne mènent à rien.

Vous pouvez dormir tranquille, nous prenons le relais

N’est-il pas temps d’aborder les choses autrement? C’est désormais possible.

L’IA comportementale peut être configurée pour gérer automatiquement les menaces, et c’est une approche extrêmement puissante. La technologie peut prendre des décisions directement sur l’appareil, indépendamment du cloud et sans intervention humaine. Si ActiveEDR est configuré en mode Detect, vous recevez des alertes contextualisées. En mode Protect, ce document Word piégé est tout simplement bloqué. Aucun humain n’a besoin d’intervenir. Lorsqu’un utilisateur tente d’ouvrir le fichier Word, la menace est détectée, bloquée et supprimée en un temps record. Si ActiveEDR est en mode Protect, la Storyline de l’attaque montre qu’elle n’est pas allée bien loin. L’attaque a été bloquée avant de pouvoir communiquer vers l’extérieur.

Comme les agents d’IA comportementale sont intégrés dans chaque endpoint, les comportements malveillants peuvent être stoppés immédiatement. Si vous décidez plus tard qu’un blocage n’était pas nécessaire, vous pouvez tout simplement l’annuler. Et contrairement aux humains, ActiveEDR avec l’IA comportementale de SentinelOne n’a pas besoin de dormir et ne quitte pas le bureau à cinq heures.

Avec la gestion automatique des menaces via l’IA comportementale, vous n’avez plus à craindre les vols de données, les gros titres alarmants ou les appels de la police.

Contactez-nous ou demandez une démo gratuite si vous souhaitez en savoir plus sur l’IA comportementale de SentinelOne et sur la manière dont elle peut protéger votre organisation.

Vous cherchez un partenaire informatique pour votre PME?

Faites-nous savoir ce qui pourrait être amélioré dans votre organisation. Petite ou moyenne entreprise ? Nous sommes heureux d’examiner avec vous les solutions les plus appropriées et de vous proposer des formules standard ou personnalisées. À vous de choisir.

“Chez Office-IT, nous faisons confiance à des logiciels de sécurité plusieurs fois primés développés par nos partenaires. À chaque test, leurs performances se distinguent clairement.”

Office-IT