L'intelligence artificielle au service de la cybersécurité : retour d'expérience du SOC Advens

mySOC & Security-as-a-Service
L'intelligence artificielle au service de la cybersécurité : retour d'expérience du SOC Advens
A l'occasion d'un webinar organisé par le CESIN, Advens a partagé ses dernières avancées en matière d'intelligence artificielle pour détecter et traiter les incidents de sécurité. Cet échange a été l'occasion de présenter l'approche théorique suivie par l’équipe de Data Science du SOC Advens mais également la mise en pratique et l'industrialisation de ces travaux de recherche.
 
 
La cyber-sécurité, un défi multi-dimensionnel

« Il faut croiser différentes sources de données et corréler, dans le temps et l'espace, des données très variées, des signaux malveillants faibles dans un environnement en constante évolution » explique Pierre-Yves Lablanche, docteur en astrophysique et responsable de l’équipe Data Science au sein du SOC Advens. L'exploitation de ces données grâce au data science et à l'intelligence artificielle est particulièrement adapté à la cybersécurité. La démarche suivie par son équipe s'appuie sur 4 principes :

  • Une approche « multi-filets » : Il ne s'agit pas d'oublier les approches traditionnelles qui ont déjà fait leurs preuves. Utiliser des règles de détection basées sur des seuils est parfois suffisant. L'intelligence artificielle est utilisée pour aller plus loin et pour rendre la détection plus puissante.
  • Une IA « assistante » : à l'image du secteur automobile où certains préfèrent se concentrer sur les voitures assistées plutôt que sur les voitures autonomes, l’IA dans le SOC Advens ne remplace pas l’analyste ! Les algorithmes assistent les opérationnels pour traiter rapidement les alertes simples et se concentrer sur les incidents et les attaques complexes. Ce qui permet aux équipes du SOC internes d’être organisés en pyramide inversée, avec un maximum d’experts Niveau 3 et un socle optimisé de ressources Niveau 1.
  • Des outils interprétables : Si la décision de la machine n'est pas compréhensible, elle ne servira à rien ! « Nous ne pouvons pas dire à notre client : l’IA a détecté un incident, mais on ne sait pas de quoi il s’agit. Si les analyses ne sont pas interprétables, nous ne pouvons pas les utiliser ! » commente Jérémie Jourdin, directeur technique d’Advens.

 

Un exemple bien concret : la détection des « DGA »

Les DGA sont des algorithmes de génération de noms de domaine, utilisés pour générer un grand nombre de noms de domaine, qui sont alors utilisés pour échanger avec les serveurs de « command & control ». Advens a mis au point un algorithme de deep learning détectant ces noms de domaines générés aléatoirement. Les approches traditionnelles par white / black list atteignent ici leur limite ! Cet algorithme a permis à un client du SOC Advens de traiter une infection virale. Certains de ses postes se connectaient à un site au nom de domaine étranger… que le proxy n’avait pas bloqué !

C'est un exemple parmi d'autres au sein des algorithmes déployés actuellement en production dans le SOC Advens. La détection des DGA est un challenge et doit être en constante amélioration pour lutter contre l’inventivité des attaquants. Les travaux de renforcement et de « tuning » de l’algorithme feront l’objet d’un prochain article !

 

De la R&D à la mise en production

Les travaux de l’équipe Data Science donnent une réponse « mathématique » à une problématique Cyber. Obtenir l’algorithme qui va permettre de détecter une nouvelle attaque est une première étape fondamentale. Mais elle doit être complété par une étape d’industrialisation. C’est alors que les équipes de développement prennent le relai pour déployer cette nouvelle capacité de détection et d’analyse en production. Et de lui faire passer l’épreuve de l’industrialisation, qui fait souvent défaut aux projets de Data Science et d’IA.

« Le SOC Advens s’appuie sur une plateforme et toute une production. Nous ne pouvons pas nous permettre de faire tourner de PoC. Les algorithmes mis au point par Pierre-Yves doivent être implémentés de façon à être performant, scalable et maintenable. » explique le Directeur technique Advens.

Ce défi a été relevé depuis maintenant deux ans. L’IA est désormais une réalité au cœur du SOC Advens. Tout ceci a été facilité par les travaux consacrés à la collecte des données (Les différents événements de sécurité analysés par le SOC sont très souvent issus des logs) et surtout à leur normalisation. Les choix techniques réalisés par la R&D Advens ont permis de préparer le terrain à une utilisation efficace et industrielle de l’IA. Le recours à des briques ouvertes, l’utilisation d’un modèle de données adapté (Elastic Common Schema), la prise en compte du contexte Client sont autant de facteurs de succès. Ce sont les ingrédients du projet Darwin, le framework open source mis au point par Advens pour implémenter ces algorithmes d’IA.

Tout cela permet au SOC Advens de s’appuyer pleinement sur l’IA et notamment le machine learing pour augmenter sa capacité de détection, lutter contre les faux positifs et optimiser les travaux des analystes, réduisant ainsi la « cyber fatigue » qui fait rage dans ces équipes.

 

Benjamin Leroux, Innovation & Marketing, Advens