La cyber-paléontologie semble impressionnante ; ses résultats le sont d’autant plus

Étant donné que nos clients, qui sont des entreprises, en ont grandement besoin, et que nous sommes fidèles aux principes de l’offre et de la demande du marché, nous avons récemment décidé de fournir un nouveau service pour ce marché : Kaspersky Managed Security

5 octobre 2018

Bonjour à tous !

Je souhaiterai commencer cet article en paraphrasant un principe philosophique qui est assez célèbre : « L’existence sociale de l’homme est-elle déterminée par sa profession, ou sa profession est-elle déterminée par son existence sociale ? » Il semblerait que cette question, ou plutôt la question originale, ait été largement débattue depuis plus de 150 ans. Avec l’invention et l’expansion d’Internet, cette guerre sainte semble être partie pour durer encore au moins 150 ans. Personnellement, je n’ai pas pris position. Cependant, je tiens à dire que je suis favorable à l’idée d’un dualisme entre la profession et l’existence, en utilisant mon expérience personnelle comme référence, puisqu’elles s’influencent mutuellement, de plusieurs façons, et sans arrêt.

Vers la fin des années 80, la virologie informatique est apparue comme réponse au nombre croissant de programmes malveillants. Avancez rapidement, et vous voilà 30 ans plus tard. La virologie a évolué, ou plutôt fusionné avec grand plaisir avec les secteurs adjacents, pour devenir l’industrie de la cybersécurité qui dicte désormais souvent le développement de l’être l’informatique : étant donné le caractère inévitable de la concurrence, seules les technologies équipées de la meilleure protection survivent.

Au cours des 30 années qui ont suivi la fin des années 80, nous, les entreprises qui développent des antivirus, avons été appelés par plusieurs noms originaux et/ou plutôt désagréables. Mais le nom le plus correct qui nous a été attribué ces dernières années est, AMHA, le mème cyber-paléontologue.

En effet, ce secteur a appris comment se battre contre les épidémies les plus importantes, que ce soit de façon proactive (comme quand nous avons protégé les utilisateurs des épidémies les plus importantes de ces dernières années : WannaCry et ExPetr), ou réactive (en utilisant les analyses des données sur les menaces gardées sur le Cloud, et des mises à jour rapides). Lorsqu’il s’agit d’attaques informatiques ciblées, le secteur dans sa globalité a encore beaucoup à faire. Seules quelques entreprises sont assez matures, et ont les ressources techniques suffisantes pour pouvoir s’en occuper. Si vous y ajoutez un engagement inébranlable pour révéler toutes les menaces informatiques, et ce peu importe leurs origines ou leurs objectifs, vous n’avez plus qu’une seule entreprise : KL ! Cela me rappelle une phrase de Napoleon Hill : « Il n’y a jamais beaucoup de monde en haut de l’échelle du succès ». Il n’est pas étonnant de voir que nous sommes seuls (en haut de l’échelle) : maintenir ce ferme engagement qui consiste à tout révéler coûte beaucoup plus cher que de ne rien faire. De plus, cette décision engendre beaucoup plus de problèmes à cause des bouleversements géopolitiques actuels qui ont eu lieu récemment, mais notre expérience montre que c’est la bonne chose à faire, et les utilisateurs nous l’ont confirmé ; il n’y a qu’à regarder les chiffres.

Une opération de cyber-espionnage est un projet de haute technologie très long, très cher, et particulièrement complexe. Il est évident que les auteurs de ces opérations sont contrariés et embêtés lorsqu’ils sont arrêtés, et beaucoup pensent qu’ils essaient de se débarrasser des développeurs « indésirables » en utilisant diverses méthodes en manipulant les médias.

https://twitter.com/malwrhunterteam/status/1029276290900262913

Mais je m’écarte du sujet…

Désormais, ces opérations de cyber-espionnage peuvent passer inaperçues pendant des années. Les auteurs font très attention à leurs investissements outils : ils n’attaquent que quelques cibles consciencieusement choisies (pas d’attaques massives qui peuvent être détectées beaucoup plus facilement), ils les essaient sur tous les produits de cybersécurité connus et disponibles sur le marché, ils changent rapidement de méthode si nécessaire, et ainsi de suite. Il est facile de croire que la plupart des attaques ciblées qui ont été détectées ne sont que la partie visible de l’iceberg. La cyber-paléontologie est le seul moyen vraiment efficace pour révéler les attaques. Il s’agit de collecter méticuleusement des données sur le long terne pour avoir une vue d’ensemble. Cette méthode implique aussi la collaboration des experts de diverses entreprises, la détection et l’analyse des anomalies, et par la suite, le développement des technologies de protection.

Il existe deux principaux champs secondaires dans le secteur de la cyber-paléontologie : les enquêtes ad hoc (après avoir détecté quelque chose au hasard et l’avoir poursuivi), et les enquêtes opérationnelles systémiques (processus d’analyse planifiée pour étudier l’environnement informatique des entreprises).

Les avantages évidents de la cyber-paléontologie opérationnelle sont très appréciés par les grandes entreprises, qu’elles soient gouvernementales ou commerciales, puisqu’elles sont toujours les premières à être victimes des attaques ciblées. Cependant, toutes les entreprises n’ont pas la possibilité, ou la capacité, d’entreprendre la cyber-paléontologie opérationnelle elles-mêmes : les vrais spécialistes, à embaucher, qui travaillent dans ce secteur niche, sont loin d’être nombreux, et sont assez chers. Nous devrions le savoir, parce qu’il y en a plein autour de nous et dans le monde entier. Ils ont une expérience exceptionnelle, et sont reconnus internationalement. Par conséquent, étant donné notre force dans ce secteur, et le fait que nos clients, qui sont des entreprises, en ont grandement besoin, et que nous sommes fidèles aux principes de l’offre et de la demande du marché, nous avons récemment décidé de fournir un nouveau service pour ce marché : Kaspersky Managed Protection.

Kaspersky Managed Protection est essentiellement la sous-traitance de notre cyber-paléontologie.

Notre service basé sur le Cloud collecte d’abord les métadonnées de l’activité du réseau et du système. Une fois que cela est fait, elles sont ajoutées aux données de notre solution KSN. Enfin, toutes ces informations sont analysées par des systèmes intelligents et des cyber-paléontologues experts. Il s’agit donc de l’approche HuMachine.

Revenons à la collecte des métadonnées… Ce qui est vraiment bien avec Kaspersky Managed Protection c’est que vous n’avez pas besoin d’installer des capteurs supplémentaires pour collecter les métadonnées. Le service fonctionne à l’unisson avec les produits déjà installés, surtout avec Kaspersky Endpoint Security et Kaspersky AntiTargeted Attack. Dans le futur, il fonctionnera peut-être aussi avec les produits d’autres développeurs, et il utilise les données de télémesure comme support pour son « examen médical » > diagnostic > ordonnance pour le traitement.

Il est particulièrement intéressant de voir ce qui est caché lorsque ces informations sont ajoutées aux données de KSN.

Le service en question dispose déjà de plusieurs gigabytes de données de télémesure brute grâce aux différents capteurs : événements du système d’exploitation, comportement des processus et interaction avec les réseaux, activité des services et applications du système, ou encore verdicts des produits de sécurité, avec la détection des comportements inhabituels, l’IDS, le sandboxing, la vérification de la réputation des objets, les règles de YARA, … vous en avez la tête qui tourne ?! Si les choses sont bien faites, vous trouverez peut-être dans ce chaos des techniques qui peuvent finalement vous aider à révéler des attaques ciblées.

À ce stade, pour séparer le bon grain de l’ivraie, nous utilisons une technologie de détection, d’enquête et d’élimination des attaques ciblées qui est brevetée, et basée sur le Cloud. Tout d’abord, les données de télémesure reçues sont automatiquement identifiées par KSN suivant la popularité des objets, l’appartenance à un groupe ou à un autre, la ressemblance avec des menaces connues, et d’autres paramètres. En d’autres termes, nous éliminons l’ivraie, et nous attribuons des étiquettes spéciales à toutes les choses utiles qui restent, et qui seraient les différents grains de blé.

Ensuite, ces étiquettes sont automatiquement traitées par un mécanisme de corrélation qui utilise l’apprentissage automatique, et qui met en avant des hypothèses sur les possibles cybermenaces. Dans le jargon des paléontologues, nous étudions les fragments déterrés pour trouver des ressemblances avec les dinosaures que nous avons déjà découverts. Nous cherchons aussi des combinaisons de fragments inhabituelles qui pourraient être propres à un dinosaure que la science ne connaît pas encore.

Pour élaborer ces hypothèses, le mécanisme de corrélation utilise une multitude de sources d’informations. Depuis la création de KL il y a 21 ans, nous avons accumulé… assez de données (soyons modestes) pour émettre ces hypothèses, notamment en ce qui concerne les données statistiques suspectes qui s’écartent de l’activité normale, mais aussi les tactiques, les technologies et les procédures des diverses attaques ciblées, et les données que nous obtenons grâce aux enquêtes sur les crimes informatiques auxquelles nous participons.

Une fois que les hypothèses sont élaborées, le cerveau du cyber-paléontologue passe à l’action. Cet expert arrive à faire des choses que l’intelligence artificielle rêve de pouvoir faire. Ce professionnel vérifie l’authenticité des hypothèses présentées, analyse les objets et les actions douteuses, élimine les faux-positifs, apprend des choses aux robots de l’apprentissage automatique, et développe des règles pour trouver de nouvelles menaces. Mais un jour, pourtant, presque tout ce que faisait le paléontologue manuellement sera fait automatiquement. Il s’agit d’un processus infini qui essaie de convertir l’expérience en enquêtes, et les enquêtes en un service automatique.

Alors, progressivement, étape par étape, avec l’aide des technologies de pointe, et sous la supervision des experts, dans ces tonnes de terre, nous pouvons trouver des traces de monstres d’attaques ciblées jusqu’alors inconnues. Plus la terre que reçoit Kaspersky Managed Protection n’a pas été traitée, plus il peut remonter dans le temps, et plus il est probable qu’il découvre ce qui n’a pas encore été découvert et, par conséquent, révèle des attaques inconnues. L’aspect le plus important est qu’il s’agit du moyen de protection le plus efficace, puisque nulle part ailleurs, à part dans les réseaux des grandes entreprises, on trouve cette terre non traitée qui contient des fragments de dinosaures.

Pour conclure, je souhaiterai brièvement expliquer comment Kaspersky Managed Protection complète notre Centre d’Opérations de Sécurité (SOC), le centre de contrôle des incidents liés à la sécurité des informations.

Il est certain que Kaspersky Managed Protection ne va pas remplacer le SOC mais (i) il pourrait donner un nouvel élan à sa création puisqu’il résout de façon astucieuse une seule tâche qui est tout de même la plus importante : révéler toutes les attaques, et ce peu importe leur complexité ; (ii) il pourrait étendre les compétences du SOC existant en y ajoutant la cyber-paléontologie ; et (iii) le dernier aspect qui est aussi le plus important, est qu’il pourrait créer un commerce supplémentaire pour les fournisseurs qui gèrent les services de sécurité (MSSP) en élargissant les applications de services des fonctions évolutives de la cyber-paléontologie. Je pense que ce troisième facteur peut être le vecteur principal du développement de Kaspersky Managed Protection.

Conseils