l’intelligence artificielle au service de la cybersécurité

"Regardless of how well-secured a network may appear to be, the hacker almost always finds a way in", Alan Wade, Former CIO, Central Intelligence Agency.

L’intelligence artificielle est partout. Dans les chatbots, et aussi en cybersécurité.

Merci à Akerva et Darktrace. On ne présente plus Akerva, avec ses 65 experts en cybersécurité, entre Rennes, et Paris, avec un CA en 2016 de 1,6M, en 2017, 4,2M, 2018, forte croissance. Les clients: cela va du CAC 40 aux entreprises de tailles intermediaires. Un pole audit et tests d’intrusion, un pole sécurité IOT et systèmes industriels, aerospatiale, fusée Ariane… Un pole elearning à Rennes. C’est pour des personnes de l’IT, des ingénieurs systèmes : il travaille sur le TOP10 OWASP avec des développeurs, comment sécuriser le code.

Pole gouvernance, risques et conformité, assistance RSSI, DPO en temps partagé, GDPR, mise en place conformité. Architectes, évolution des produits en phase avec la sécurité.

Pole intégration de solutions via SSI, chiffrement de serveurs, hyperva, DAM, Darktrace

Activités red team en grands comptes.

Une question? Posez-la ici

Pentesting par la RED TEAM LGHM

Vincent nous présente un peu d’histoire de l’IA; L’intelligence artificielle regroupe plusieurs disciplines : deep learning, analyse predictive, traitement automatique du langage pour l’exploitation des logs...

1956 : défintion de Marvin Minsky « l’intelligence artificielle est la science qui consiste ... »

Eliza, 1er Chatbot

80s systemes experts, avec du LISP

2006 deep blue, machine learning

1985 la micro arrive avec des puissances de calcul pas cher

2015 alphago, deep learning

Le machine learning est une technique qui permet d’apprendre à partir d’une base de connaissance : apprendre à reconnaître ce qu’est une image, par exemple, on reconnaît un zèbre après avoir vu plueisues images de zèbres…

Un exemple de machine learning: dévérouillage par FaceID sur les iphones ; Au début, ça ne marchait pas bien pour certains visages. Progressivement la machine à appris à reconnaître davantage les formes des visages et le dévérouillage se fait de mieux en mieux.

Les réseaux neuronaux.

Au début, l’IA c’était du oui, ou du non.

Maintenant, avec un réseau, on a des réponses d’un neurone, entre 0 et 1.

Deep learning = réseau de neurones qui communique entre eux.

-Mode supervisé: on donne une base et on apprend. Exemple, prévision de pannes pour les moteurs d’automobiles : on donne une base de données de sons et la machine « écoute » le bruit du moteur et peut detecter une panne par exemple si le bruit écouté se rapproche de celui de la base de donnée.

-Mode non supervisé: on part de 0, sans base et on utilise des algorithmes mathématiques. C’est ce que fait Darktrace : il « écoute » le réseau

mode mixte : les 2

Exemple de deep learning : vidéo de Watiz, une machine reconnaît un squelette sur une silhoutte persone-skeleton, en temps réel

L’IA et la cybersécurité

Panorama de la cyberdéfense

2000 : 5 nouveaux codes melveillants par jour

2018 : 2 millions de codes malveillants par jour. N’importe qui peut générer son code malveillant sur le darknet.

Les menaces se diversifient : APT, ransomwares, exploit, 0-day, et personne n’est là pour s’en occuper, pas de main d’oeuvre en cybersécurité. Il faut gérer ça.

A l’époque, il y a 20 ans, on se demandait : « faut-il un pare-feu, un antivirus ? »

Depuis, ça a évolué, les virus ont changé, ils sont polymorphes, les bases sont dures à mettre à jour.

Le SOC devient stratégique pour l’entreprise et doit évoluer avec les menaces. Il devient la tour de contrôle de la sécurité.

De plus en plus d’interconnections dans tous les sens :

Volontaires, via le web clients, stockage, cloud, iot

Les involontaires mais tolérés, Dropbox, réseaux sociaux, webmail, BYOD,

Les non désirés, invisibles, cryptomoney miners, pour miner du bitcoin de maniere cachée, volontairement ou involontairement, ransomwares, apt

Comment detecte-t-on une menace ?

-Base de signature : hashs

-Heuristique : étude du comportement malveillant, MAIS, la 1ere infection passe.

-Sand box : environnement virtualisé, mais les virus detectent les sandbox

-l’apprentissage automatique : on apprend ce qui se passe, ce qui est normal et detecter l’anormal.

L’IA dans la cyberdefence ce n’est pas tout neuf, depuis longtemns on a déjà ça dans les SIEMS. Le plus efficace dans la détection d’intrusion : IDS.

Un SOC, c’est quoi ?

Sur une echelle de temps, 3 niveaux

1) analystes qui observent, quand ils trouvent qqchose ils passent au… Detection d’evenement, triage,

2) spécialistes qui ont des informations précises pour agir, signalement, réaction, confinement

3) remediation et forensic, réparer, comprendre, rémédiation

Pendant tout ce temps la, 1) 2) 3), des données sont exfiltrées.

CF les critères émis par la NSA

-temps de propagation

-visibilité

…

Un SOC embarque un SIEM, là ou atterissent tous les evenements, les logs, les events systèmes...

LE SIEM s’appuie sur le niveau 1 et 2 du soc. Il faut le mettre à jour. S’il y a des evenements inconnus, exemple, la faille 0-day ne sera pas connue.

On va donc renforcer le SIEM avec de l’IA.

Ce qu’un humain ne peut pas faire, une IA peut le faire

Détection des actions anormales.

Les modèles mathématiques sont très efficaces et réduisent ainsi le cout de fonctionnement du SOC.

L’impact de l’IA sur le soc : bourrage organisationnel, modification d’organisation à faire : les taches du niveau 1 vont changer, au lieu de regarder ce qu’il passe sur les consoles, le niveau 1 passe au « quoi » ; La charge de travail ne baisse pas, mais elle change de nature.

4 phases d’une attaque classique

renseigmenent, scan de ports, intrusion, latéralisation, exploit...

Les 4 réponses à ces attaques

Network behavior analytics

clusterisation/TANL

Deep packet inspection

deep learning

L’IOT, une nouvelle source de menace

50 milliards d’objets connectés en 2020.

70 % des IOTs contiennent des vulnérabilités (source HP)

Quid des IA offensives ? Y a-t-il des IA en attaque ?

Pas de preuve d’IA offensive, sauf en INDE, une IA qui se faisait passer pour un utilisateur.

Mais , en californie, une IA conteste les Pvs, open osurce. Tot ou tard il y en aura. D’ici 5 ans, on prevoit des IA offensives. On aura autant d’IA en défense qu’en attaque.

Conclusion : 

Seule l’IA peut extraire l’information utile de la masse des données collectées. On ne plaque pas une IA sans changer l’organisation. L’expertise humaine reste inévitable. 

Une question? Posez-la ici

Pentesting par la RED TEAM LGHM

Darktrace présente sa solution d'intelligence artificielle dans la cybersécurité

Darktrace est le leader mondial de la technologie d’IA pour la cyberdéfense. Créée par des mathématiciens de l’Université de Cambridge, Darktrace utilise des algorithmes d’intelligence artificielle qui imitent le système immunitaire humain et permettent de défendre les réseaux d’entreprises de tous types et toutes tailles. Cette méthode a permis à l’entreprise d’identifier 63 500 menaces auparavant inconnues dans plus de 5 000 réseaux, y compris les « zero-days ».
Protéger vos réseaux et vos données grâce à l’intelligence artificielle

Akerva met à votre disposition son expertise en sécurité des Systèmes d’Information et la connaissance sur l’intelligence artificielle de Darktrace pour la cyberdéfense afin d’optimiser votre protection.
Les entreprises doivent quotidiennement faire face à de nouvelles attaques plus élaborées et sophistiquées les unes que les autres.

Les innovations en matière d’intelligence artificielle permettent aujourd’hui la détection, la protection et la résolution de situations complexes, avec des solutions agissant de manière semblable au raisonnement humain.

L’intelligence artificielle permet ainsi de traiter des données en quantité importante et d’identifier les moindres changements comportementaux (provenant d’utilisateurs internes ou externes) ou de bots.

Apprendre et comprendre les comportements normaux au sein de votre réseau pour détecter les potentielles menaces

Basées sur la technologie d’auto-apprentissage, les solutions Darktrace ne nécessitent aucune configuration préalable. Autrement dit, les menaces auparavant inédites peuvent tout de même être détectées.

Les solutions Darktrace sont dotées de capacités de réflexion, capables d’effectuer des actions en temps réel et s’améliorent en continue.
Le but ultime des solutions Darktrace est d’identifier les menaces en temps réel, y compris les « zero-days », les menaces internes et les attaquants silencieux et furtifs.

Darktrace Enterprise Immune System

Fondée sur l’apprentissage automatique, la solution Enterprise Immune System de Darktrace permet la détection de cyber-menaces et de comportements anormaux inédits.

Grâce aux algorithmes d’apprentissage, la solution identifie les moindres changements comportementaux. Ces derniers sont ensuite corrélés et filtrés les uns avec les autres afin de détecter d’éventuelles menaces ou anomalies.

La solution peut être interfacée avec tous types de réseaux, systèmes physiques, cloud mais également avec l’IoT et les systèmes industriels.

Darktrace Antigena

Darktrace Antigena agit automatiquement pour empêcher ou contenir des menaces rapidement et vous permettre de réagir. Il ne faut que 20 minutes à une menace majeure de type ransomware, pour générer une crise. L’action autonome de Darktrace Antigena ralentit ou arrête les attaques de manière ciblée. Vos équipes sont alors en mesure de prendre des mesures d’atténuation .

La capacité de réponse autonome de Darktrace Antigena vous permet de contre-attaquer directement sans perturber votre organisation.

https://dema.darktrace.com/#device/10

7000 organisations utilisent Darktrace pour se proteger des menaces que l’on voit apparaître sur les differents reseaux.

Darktrace est un serveur qui se connecte sur le réseau.

L’ensemble du réseau est cartographié en temps réel, et toutes les connections vont être tracées, on peut rejouer les connections pendant 1 an.

Analyse comportementale de chaque entrées et sorties, detection des anomalies de comportement en temps réel. Plutot que de chercher les problemes, on annonce : « voilà ce qui est normal au quotidien, et là attention, aujourd’hui quelquechose d’anormal se passe »

Pour une équipe SOC, il suffit de connecter le serveur au réseau, configurer le seuil des alertes. Une petite reglette permet de modifier la granularité des alertes.

Si on regarde une alerte par exemple sur un laptop. Antigena surveille les workstations et detecte les anomalies de manière autonome. C’est Antigena qui peut bloquer une connection.

On voir ce qui s’est passé : connection anormale vers un serveur de backup suivi par une dizaine d’écriture sur des partages de fichiers. On voit que c’est une phase de chiffrement d’un ransomware. Antigena est capable de bloquer la connection entre le laptop et la base de données de backup.

En ouvrant les logs, on a le detail de ce qu’il s’est passé.

Isntantanément, darktrace détecte un taux d’écriture SMB jamais atteint auparavant… Darktrace detecte plus de 350 métriques sur les connections, les ports, etc.

Tous ces points sont profilés pour savoir si c’est normal ou pas.

Antigena va etre capable automatiquement de bloquer le port sur le laptop : c’est une action chirurgicale.  

L’adminisistrateur peut faire du forensic et analyser ce qu’il s’est passé : il voit que le laptop télécharge beaucoup de données depuis un serveur de mails.

Exemple, connection bloquée vers www.torproject.org , blocage de requetes vers des urls, ou des IPS. 

Le poste est confiné, isolé du réseau…

Shadow IT : inventaire des machines, IPS, mac adresses

Reporting : on peut présenter des rapports en choisissant à quelle date il y a eu une anomalie. Présentation des logs anormaux.

Pas de signature, pas de base de donnée, mais tests en temps réel : c’est du décodage protocolaire en temps réel.

Tests : utilisation de la technologie pendant 1 mois. Comparaison avec les outils traditionnels.

Autre utilisation de darktrace : conformité : tracabilité des données et performance. On peut suivre l’execution de certains process.

Darktrace se pose sur un environnement bureautique classique. Mais on peut voir aussi les objets connectés, Google home… Mais Scada peut aussi être profilé, ainsi que les clouds, Office365, on peut apprendre les habitudes d’envoi d’emails entre les utilisateurs. Exemple, si le directeur financier se met à envoyer des mails bizarres tout à coup, une alerte sera remontée.

Si réseau avec 200000 endpoints par exemple, on peut placer une appliance en central et des appliances secondaires sur sites. 

Tarifs ? Business model : par mois. La licence dépend de la puissance des équipements et du nombre de ces équipements. Installation, configuration, formation, support.

Tout est sauvegardé automatiquement sur l’appliance Darktrace de manière transparente. 

Comment ce serveur est-il protégé ? Tout est chiffré sur le serveur Darktrace, il est souvent bruteforcé, mais il n’a jamais été piraté : ce ne sera pas un point de rupture. Le serveur ne fait que de l’écoute.

Principe d’antigena = des TCPs resets sont envoyés aux ports d’émissions et de receptions sur les connections qui sont considérées comme anormales.

Références clients avec plus de 150 000 endpoints? HSBC, ING, AIG, LOREAL, companies aériennes, opérateurs telecoms... 

Un composant de Darktrace permet de déchiffrer le contenu des flux SSL, SSH qui passent par exemple, si on fournit les certificats. 

Pour l’instant, Darktrace surveille 30000 machines, plus de 2000 réseaux, 23 000 comptes authentifiés. 

Darktrace peut monitorer de base environ 50 000 devices. 

Intégration avec les IDS ? Faut-il travailler avec les IDS ? Réseaux de partenaires ? 

Si une machine est déjà infectée dans le réseau ? Si une machine dévie de la norme dans le réseau, Darktrace va être capable de dire que cette machine, par rapport aux autres, fait des choses anormales. Exemple, lors d’un test, une caméra de visio conférence se comportait anormalement, se connectait à des serveurs distants inconnus et lorsque le DSI A vu l’alerte, il a compris que des personnes visualisaient les réunions à distance. 

C’est une technologie complementaire de l’IDS : l’outil s’autoconfigure de lui même : antigena alimente les SIEMS, les firewalls. Il couvre une brique de sécurité par cette vue de l’interieur. « Inoculation » est un service de partage de connaissance : si dans le réseau des 7000 clients une attaque est detectée, l’attaque est partagée au sein de toute la communauté très rapidement. On peut aussi reçevoir de tout le monde. Possibilité de recevoir les alertes, sans les donner. Une équipe CERT d’analyste travaille là dessus.

Concernant les mises à jour : on peut utiliser un canal SSH vers le bastion R&D

On peut télécharger directement sur le portail client les mises à jours.

L’intelligence artificielle est partout.