in Loisirs

Architecture des opérations de sécurité pilotées par l’IA avec un taux de faux positifs bas | par Dmitrijs Trizna | Avril 2023

1.9k Views


UNE APPROCHE CONCEPTUELLE POUR L’APPLICATION DE L’INTELLIGENCE ARTIFICIELLE À LA CYBERSÉCURITÉ

Dans cet article, nous abordons l’application de l’intelligence artificielle (IA) à la cybersécurité, pourquoi la plupart des applications échouent et quelle méthodologie fonctionne réellement. Nous discutons également de la différence entre l’intelligence générale et l’intelligence étroite et comment cela s’applique aux heuristiques de sécurité. Nous examinons également les lacunes dans les règles de signature ciblées et les heuristiques comportementales larges, et pourquoi nous ne pouvons pas simplement couvrir tous les TTP possibles avec plusieurs règles comportementales larges. Nous avons également exploré l’application de l’apprentissage supervisé et non supervisé à la détection de la sécurité en utilisant des exemples d’heuristiques Unix et Windows réussies. Nous avons conclu que pour appliquer l’IA à la sécurité, vous devez réellement avoir des connaissances et une intuition en matière de sécurité.

INTRODUCTION

Alors que les techniques d’apprentissage automatique (ML) sont de plus en plus courantes dans les applications commerciales, l’application de l’IA à la cybersécurité est loin d’avoir atteint les étapes de production futuristes. Dans cet article, nous abordons l’application de l’IA à la cybersécurité, pourquoi la plupart des applications échouent et quelle méthodologie fonctionne réellement. Nous discutons également de la différence entre l’intelligence générale et l’intelligence étroite et comment cela s’applique aux heuristiques de sécurité. Nous examinons également les lacunes dans les règles de signature ciblées et les heuristiques comportementales larges, et pourquoi nous ne pouvons pas simplement couvrir tous les TTP possibles avec plusieurs règles comportementales larges. Nous avons également exploré l’application de l’apprentissage supervisé et non supervisé à la détection de la sécurité en utilisant des exemples d’heuristiques Unix et Windows réussies. Nous avons conclu que pour appliquer l’IA à la sécurité, vous devez réellement avoir des connaissances et une intuition en matière de sécurité.

L’INTELLIGENCE GÉNÉRALE VS L’INTELLIGENCE ÉTROITE

L’intelligence, dans son sens le plus large, est la capacité d’atteindre des objectifs. Les êtres humains sont supposés avoir une intelligence générale car nous pouvons “généraliser” et atteindre des objectifs que nous n’aurions jamais besoin d’atteindre dans un environnement basé sur la sélection naturelle et l’impératif génétique. Cependant, il existe des entités qui sont bien meilleures que nous sur un ensemble étroit de tâches. Par exemple, les calculatrices sont bien meilleures en arithmétique que le plus intelligent d’entre nous, comme von Neumann, ou les écureuils peuvent être beaucoup plus performants que les humains dans la mémorisation des emplacements de glands cachés l’année dernière.

Nous pouvons raisonner sur les heuristiques de sécurité de manière similaire. Il existe des règles qui sont fortement axées sur un outil ou une CVE spécifique, et des règles qui tentent de détecter un ensemble plus large de techniques. Par exemple, une règle de détection focalisée uniquement sur l’escalade de privilèges sudo utilisant CVE-2019-14287, par rapport à une règle de détection de webshell qui tente de mettre en œuvre une heuristique comportementale considérablement plus large. La première règle ne détecte qu’une seule technique spécifique et en manque beaucoup d’autres. À l’inverse, la seconde règle de détection de webshell peut détecter un ensemble de techniques offensives et d’outils de shell web de l’arsenal Kali Linux.

LACUNES DANS LES RÈGLES DE SIGNATURE CIBLÉES ET LES HEURISTIQUES COMPORTMENTALES LARGES

Alors que la plupart des organisations peuvent simplement copier-coller la règle CVE sudo et l’activer immédiatement dans leur SIEM, la règle de shell web peut fonctionner pendant un certain temps en mode “surveillance uniquement” pendant que les analystes de sécurité filtrent tous les déclencheurs légitimes observés dans leur environnement. Les ingénieurs de sécurité cherchent à répondre à ce qui est malveillant et ne correspond pas à leur environnement. Ils peuvent voir des alertes d’automatisation créées par des administrateurs système qui exécutent une requête REST API qui déclenche l’une des actions d’énumération ou un script shell Ansible qui, lorsqu’il est déployé, crée des relations de processus parent-enfant étranges.

Les règles comportementales larges apportent des faux positifs. Les heuristiques comportementales larges deviennent des listes avec des douzaines d’exclusions et des modifications mensuelles plus importantes que les référentiels de code actifs. Les ingénieurs de sécurité doivent donc trouver des techniques alternatives pour mettre en œuvre les heuristiques comportementales.

APPLICATIONS RÉUSSIES DE L’APPRENTISSAGE SUPERVISÉ ET NON SUPERVISÉ

Les exigences pour les applications de l’IA à la cybersécurité sont à priori large. Étant donné l’applicabilité des algorithmes d’IA, la plupart du temps, l’intuition des professionnels de la sécurité les conduit à l’apprentissage non supervisé. Nous chargeons l’IA de capturer des anomalies dans le réseau, d’alerter sur les lignes de commande suspectes, etc. Ces tâches sont au niveau de généralisation de « résoudre la sécurité pour moi ».

DANS L’ENSEMBLE

Pour appliquer l’IA à la sécurité, vous devez réellement avoir des connaissances et une intuition en matière de sécurité. Le concept de l’intelligence étroite peut être appliqué aux heuristiques de sécurité, où il existe des règles qui sont fortement axées sur un outil ou une CVE spécifique, et des règles qui tentent de détecter un ensemble plus large de techniques. Les heuristiques comportementales limitées doivent être appliquées pour minimiser les faux positifs. Les exemples d’heuristiques fonctionnelles supervisées en matière de détection de logiciels malveillants comprennent des modèles de reverse shell. Les exemples d’heuristiques non supervisées réussies dans Unix et Windows comprennent des processus Python/perl/ruby/anomalous, des commandes système/anomalies persistantes, des sources de connexion SSH anormales et des anomalies de client RDP du réseau.

What do you think?

0 Points
Upvote Downvote

Written by Pierre T.

Leave a Reply

Your email address will not be published. Required fields are marked *

CodeChat – CodeChat vous aide à comprendre rapidement le code.

Le bilan mondial de population et de pouvoir est en train de changer.