Titre: Fortinet anticipe des attaques qui misent sur l’IA avancé (03/12/2019 Par zion)
Pour déjouer proactivement les attaques modernes, les entreprises se doivent d’évoluer vers des stratégies de sécurité misant sur une intégration étroite, un système IA distribué, un machine learning fédérateur et une veille décisionnelle sur les menaces

Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet
“Les succès des cybercriminels résultent, pour l’essentiel, de leur capacité à tirer parti d’une surface d’attaque en expansion et de failles de sécurité causées par la transformation digitale des entreprises. Récemment, leurs méthodes d’attaques ont misé sur l’Intelligence Artificielle et le swarming pour gagner en sophistication. Fort heureusement, cette progression devrait fléchir puisque les entreprises devraient opter pour des stratégies similaires à celles des cybercriminels pour défendre leur réseau. D’où l’intérêt d’une approche unifiée qui se veut large, intégrée et automatisée pour déployer une protection et une visibilité sur tous les segments du réseau et sur sa périphérie, de l’IoT aux environnements cloud dynamiques.”

L’essentiel :
Fortinet® (NASDAQ: FTNT), l'un des leaders mondiaux de solutions globales, intégrées et automatisées de cybersécurité, dévoile les prédictions de ses équipes FortiGuard Labs en matière de sécurité et de menaces, pour 2020 et au-delà. Ces prédictions révèlent des méthodes et techniques qui devraient, selon les chercheurs de Fortinet, être utilisées par les cybercriminels dans un futur proche. D’autre part, sont également présentés les changements que les entreprises sont invitées à opérer dans leur stratégie pour lutter contre les attaques à venir. Pour les résultats détaillés de cette étude et une synthèse décisionnelle, rendez-vous sur le blog.

Voici néanmoins les principaux enseignements de ce rapport :

Un changement dans les techniques de défense face aux cyberattaques
Les méthodes des cyberattaques sont devenues plus sophistiquées sur les dernières années, gagnant ainsi en efficacité et en rapidité. Cette tendance devrait perdurer, à moins que les entreprises soient plus nombreuses à repenser leurs stratégies de sécurité. Face au volume, à la célérité et à la sophistication actuelle des menaces, les entreprises doivent pouvoir réagir en temps réel pour contrer efficacement les attaques agressives. Les progrès de l'intelligence artificielle et de la veille sur les menaces seront essentiels dans cette lutte.

L’évolution de l’IA en tant que système
L’un des objectifs d’une Intelligence Artificielle (IA) orientée sécurité est de promouvoir une immunité du réseau similaire à celle dont bénéficie le corps humain. La première génération de l’IA se basait sur des modèles d’apprentissage automatique pour apprendre, corréler des informations, puis déterminer un plan d’actions spécifique. Avec la seconde génération, il s’agissait de miser sur des capacités toujours plus sophistiquées pour détecter les comportements : cette capacité a permis de renforcer des éléments clés comme le contrôle d’accès, grâce à des nœuds d’apprentissage disséminés sur l’ensemble d’un environnement. La troisième génération de l’IA propose une alternative à un centre de traitement rigide et centralisé : l’IA interconnecte désormais ses nœuds d’apprentissage régionaux pour que les données recueillies en local puissent être partagées, corrélées et analysées dans un contexte multi-site. Cette nouvelle orientation est essentielle à la sécurité des environnements Edge en forte expansion.

Un machine learning fédérateur
Si le machine learning continue d’exploiter une veille traditionnelle sur les menaces issue de l’analyse du trafic et des données internes, il portera in fine sur un flux d'informations pertinentes provenant de nouveaux dispositifs Edge et vers les nœuds d’apprentissage en local. En suivant et en corrélant ces informations en temps réel, un système IA générera une visibilité plus complète sur les menaces et affinera la réaction des systèmes aux événements locaux. Les systèmes IA pourront voir, corréler, suivre et se préparer aux menaces en partageant leurs informations sur le réseau. Au final, un système d'apprentissage fédéré interconnecte les ensembles de données afin que les modèles s'adaptent à des environnements versatiles et à toutes les tendances : ainsi, un événement sur un périmètre précis et à un moment donné, nourrit l'intelligence du système dans son ensemble.

Associer IA et playbooks pour anticiper les attaques
Si investir dans l’IA permet d’automatiser les tâches, il s’agit également de mettre en place un système qui identifiera les attaques, en aval et en amont. En associant le machine learning à des analyses statiques, les entreprises peuvent concevoir un plan d’actions personnalisées, basé sur l’IA et qui améliore les fonctions de détection et de remédiation. Ces playbooks de sécurité répertorient un ensemble de procédures pour identifier des comportements discrets, permettant au système de prédire les mouvements de l’assaillant, de déterminer le périmètre ciblé par la prochaine attaque, voire d’identifier les acteurs qui en sont à l’origine. Si cette information est couplée à un système d’apprentissage automatique, les nœuds distants d’apprentissage sauront déployer une protection sophistiquée et proactive. La menace est alors détectée, ses mouvements sont anticipés et il devient possible d’intervenir de manière proactive et de se coordonner avec d’autres nœuds pour protéger tous les vecteurs d’attaque.

Contre-espionnage et technologies de leurre
Qui dit espionnage, dit souvent contre-espionnage, ce qui se vérifie en matière d’attaque et de défense d’un environnement où chaque mouvement est surveillé avec précision. Pour se défendre, les entreprises bénéficient d’un avantage unique puisqu’elles peuvent accéder à une veille sur les menaces (souvent renforcée par le machine learning et l’IA) qui n’est généralement pas à disposition des cybercriminels. L’utilisation des technologies de leurre (deception en anglais) par les entreprises est susceptible d’inciter les assaillants à adopter des mesures de contre-espionnage.. Les attaquants doivent alors apprendre à faire la différence entre un trafic légitime et un trafic trompeur sans se faire attraper alors même qu’ils observent ce trafic Les entreprises pourront contrer efficacement cette approche en intégrant l’IA dans leur stratégie de leurre. Ceci permet de détecter les criminels lorgnant sur le trafic légitime, tout en améliorant le trafic associé au leurre afin qu’il ne puisse plus être différencié du trafic et des transactions légitimes. Au final, les entreprises ont les moyens de juguler les tactiques de contre-espionnage pour pérenniser leur niveau de sécurité.

Une collaboration plus étroite avec les forces de l’ordre
La cybersécurité présente des exigences uniques de confidentialité et d’accès, tandis que la cybercriminalité s’affranchit de toutes frontières. En conséquence, les forces de l’ordre mettent en place des centres de commandement qui vont jusqu’à collaborer avec le secteur privé, dans l’optique de lutter le plus rapidement, si ce n’est en temps réel, contre les cybercriminels. Un maillage étroit entre les forces de l’ordre, les organismes publics et le secteur privé constitue un levier pour identifier et contrer les cybercriminels. Une approche plus unifiée pour pallier les différences entre les forces de l’ordre mondiales et nationales, les gouvernements, les entreprises et les experts internationaux en sécurité favorisera un échange rapide et sécurisé d'informations afin de protéger les infrastructures d’intérêt vital contre la cybercriminalité.

Les cybercriminels rendent leurs exactions toujours plus sophistiquées
Les changements de stratégie devraient faire réagir les cybercriminels. Avec des réseaux et des entreprises optant pour des méthodes sophistiquées de détection et de prise en charge des attaques, les cybercriminels pourraient être tentés d’agir avec encore plus de vigueur. Face à des méthodes d'attaque plus sophistiquées, une surface d'attaque potentielle en expansion, et des campagnes malveillantes basées sur des technologies IA, la sophistication dont font preuve les cybercriminels ne fléchit guère.

Des techniques évoluées de contournement
Un récent rapport de sécurité Threat Landscape report de Fortinet démontre que des techniques évoluées de contournement sont davantage utilisées pour éviter de se faire détecter, désactiver les fonctions et outils de sécurité en place et mettre en œuvre une stratégie LOTL (living off the land) qui consiste à cibler des outils ou programmes parfaitement légitimes et déjà installés sur les équipements informatiques à des fins, elles, illicites. De nombreux malware modernes disposent déjà des fonctionnalités pour échapper aux antivirus et autres mesures de détection des menaces, tandis que les cybercriminels sont de plus en plus sophistiqués dans leurs pratiques d’obfuscation et de contre-analyse pour éviter toute détection. De telles stratégies affaiblissent les outils et équipes de sécurité en place.

Technologie de swarming
Ces dernières années, le swarming a progressé en tirant parti du machine learning et de l’IA pour s’attaquer aux réseaux et aux dispositifs. L’innovation en matière de technologies de swarm présente un impact très positif dans des domaines tels que le médical, les transports, l’ingénierie ou encore la résolution automatisée des problématiques. Cependant, lorsqu’elle est utilisée à des fins malveillantes, cette technologie est une vraie opportunité pour les assaillants qui piègent les entreprises n’ayant pas mis à jour leurs stratégies de sécurité. Ainsi, les cybercriminels sont susceptibles de tirer parti d’armées de bots pour infiltrer le réseau, submerger les défenses internes, identifier les données de valeur et les exfiltrer. Au final, ces bots spécialisés, dotés de fonctions spécifiques, sauront partager et corréler des informations de veille recueillies en temps-réel pour accélérer le swarming, dans l’optique de sélectionner et de personnaliser les attaques qui permettront de pirater une ou plusieurs cibles.

La 5G et le Edge Computing en tant qu’armes
L'avènement de la 5G pourrait être un catalyseur pour les attaques de swarming fonctionnelles. Cette hypothèse se concrétiserait par la création de réseaux locaux ad hoc dédiés au traitement et au partage rapides des informations et des applications. Si la 5G et l’Edge computing deviennent des vecteurs d’attaque, les dispositifs individuels pourraient se transformer en passerelles d’intrusion pour les logiciels malveillants, tandis que des ensembles de dispositifs piratés pourraient collaborer pour cibler leurs victimes avec des niveaux de performances qu’offre la 5G. Compte tenu de la rapidité, de l’intelligence et de la nature localisée d’une telle attaque, les technologies de sécurité en place font face à un nouveau défi, celui de devoir contrer une stratégie d’attaque aussi persistante.

L’attaque zero-day revisitée par les cybercriminels
Historiquement, l’identification et le développement d’un exploit pour tirer parti d’une vulnérabilité zero-day étaient coûteux, ce qui incitait les cybercriminels à réutiliser abondamment cet exploit jusqu’à ce qu’il soit neutralisé. Compte tenu d’une surface d’attaque en expansion, on peut s’attendre à une identification et une exploitation de vulnérabilités zero-day en plus grand nombre. D’autre part, l’Artificial Intelligence Fuzzing, qui automatise l’identification de vulnérabilités zero-day, est susceptible de renforcer le nombre d’attaques zero-day existantes. Les mesures de sécurité doivent être prises pour prévenir cette tendance qui s’annonce.
Retour