BLOG

Threat Stack ajoute un apprentissage supervisé avancé à ThreatML™ pour une détection en profondeur

John Pinkham Miniature
John Pinkham
Publié le 07 juin 2022

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .

Parce que la détection des anomalies ne suffit plus pour la sécurité cloud native

Jusqu’à présent, les organisations sécurisant une infrastructure cloud native devaient s’appuyer sur la détection des anomalies. Même la promesse de ce type d’apprentissage automatique a été limitée par des difficultés techniques et un manque de données, empêchant une détection approfondie des menaces.

Plus maintenant.

La dernière version de ThreatML de Threat Stack est désormais alimentée par l’apprentissage automatique supervisé. Disponible pour les clients Threat Stack, ThreatML va désormais au-delà de la simple détection d'anomalies qui constitue la norme actuelle du secteur. ThreatML offre une détection des menaces très ciblée et très efficace basée sur les comportements pour une approche de détection en profondeur qui combine l'ensemble de règles sophistiquées de Threat Stack avec l'apprentissage automatique supervisé.

Aller au-delà de l’état actuel de la détection des intrusions et des menaces

Les équipes DevSecOps et autres groupes de sécurité sont continuellement limités dans la bonne exécution des opérations de sécurité. Selon une étude récente menée auprès de plus de 200 directeurs et responsables d'équipes DevSecOps, RSSI (responsables de la sécurité des systèmes d'information), ingénieurs et architectes en sécurité cloud et autres, les équipes de sécurité cloud sont régulièrement confrontées aux problèmes suivants :

  • Problèmes de personnel / manque de main d'oeuvre
  • Petits budgets
  • Perception d’une « absence de valeur ajoutée » de la part des dirigeants
  • Exigences en matière de temps et de ressources
  • Trop de priorités quotidiennes concurrentes
  • Pression pour atteindre l'efficacité opérationnelle

De plus, des menaces de plus en plus sophistiquées créent des menaces et des vulnérabilités évolutives que les équipes de sécurité doivent maîtriser.

La plupart des fournisseurs de sécurité cloud cherchent à offrir une combinaison de sécurité cloud et d'efficacité opérationnelle. Ils tentent donc de résoudre ces problèmes en proposant la détection et le signalement des anomalies. Autrement dit, ils développent des programmes et des solutions qui se concentrent sur la recherche et le signalement d’éléments qui semblent différents de ce qui a toujours été le comportement de base d’une organisation.

Pourquoi? C'est assez simple : Les outils et solutions qui ne font que mettre en évidence les anomalies, ou ce qui diffère du comportement de base normal, ne nécessitent pas beaucoup de réglage, de formation, de triage ou de révision des alertes. Cela offre aux clients une méthode de détection d’intrusion nécessaire qui allège la pression sur l’exécution des opérations de sécurité quotidiennes. En fait, certaines entreprises se vantent de fournir « seulement quelques » rapports de détection d’anomalies par jour. Comme nous l’avons déjà écrit, avoir une limite artificielle sur le nombre d’alertes générées n’est pas une bonne mesure – et peut en fait être dangereux pour la sécurité cloud native d’une organisation. Avec la détection des anomalies, les organisations doivent toujours se poser les questions suivantes : Quelles menaces et alertes d’intrusion pouvons-nous nous permettre de manquer ?

Disposer d’une seule méthode de détection comme celle-ci est, en soi, insuffisant.

Il existe plusieurs raisons pour lesquelles la détection des anomalies ne suffit pas à sécuriser les environnements cloud :

  1. Un comportement anormal, anormal ou aberrant par rapport à une ligne de base typique ne constitue pas toujours une menace. Alerter sur ce type de comportement peut créer un faux positif.
  2. Un comportement qui semble normal ne signifie pas nécessairement qu’il est bon. Ignorer certains comportements simplement parce que les règles les considèrent comme normaux génère de faux négatifs.

Les outils qui n’offrent qu’une seule méthode de détection, comme la détection d’anomalies, passent à côté de comportements critiques qui indiquent de réelles menaces. Ces systèmes sont conçus pour faire apparaître uniquement ce qui semble différent. En bref, l’utilisation de la détection d’anomalies seule sacrifie la sécurité au profit de l’efficacité opérationnelle.

Comment Threat Stack a développé ThreatML en fonction des commentaires des clients

Au fur et à mesure que les équipes d'ingénierie de Threat Stack discutaient avec les clients, cela devenait de plus en plus évident : DevSecOps et d’autres équipes de sécurité cloud ont besoin d’un outil de sécurité cloud robuste et innovant qui fournit plusieurs solutions. Il doit :

  1. Fournir une couverture complète des menaces de sécurité connues et inconnues ;
  2. Éliminer les faux négatifs ;
  3. Reconnaître et gérer les faux positifs
  4. Maintenir les contraintes opérationnelles à un niveau bas
  5. Limiter les conclusions aux menaces réelles et exploitables
  6. Créez des filtres et des modèles qui ne manquent pas de comportements critiques
  7. Soyez facile à déployer, à gérer et à exécuter au quotidien

Au-delà de la simple détection des anomalies, la détection approfondie des menaces

Pour répondre aux besoins de ces clients, Threat Stack a cherché à créer une approche de détection en profondeur capable de découvrir les menaces connues et inconnues, tout en éliminant les faux négatifs. L’objectif était d’aller au-delà de la détection des anomalies et de fournir une meilleure image de l’environnement d’un client.

La solution ? La version avancée de ThreatML, qui utilise l'apprentissage supervisé pour fournir une détection des menaces à haute efficacité sur les comportements grâce à une approche de détection en profondeur. L’utilisation novatrice de l’apprentissage supervisé pour la sécurité du cloud par Threat Stack permet aux équipes de sécurité de sécuriser les données de leur organisation tout en garantissant l’efficacité opérationnelle.

ThreatML avec apprentissage supervisé : L'apprentissage automatique bien fait

L’une des principales raisons pour lesquelles les fournisseurs n’utilisent pas l’apprentissage supervisé est que son utilisation nécessite d’étiqueter des milliards d’événements quotidiennement pour former les algorithmes. En d’autres termes, l’apprentissage supervisé nécessite des données, beaucoup de données, et ces données doivent être classées. Et la classification des données peut être une activité extrêmement exigeante en main-d’œuvre, nécessitant de nombreux ingénieurs de données.

ThreatML adopte une nouvelle approche de l’apprentissage supervisé en utilisant le moteur de règles complet de Threat Stack pour classer et étiqueter plus de 60 milliards de données par jour, en temps réel. Ce type de données étiquetées à grande échelle est une exigence pour exploiter pleinement le potentiel de l’apprentissage supervisé.

Une fois qu’un comportement passe par le moteur de règles, il peut être analysé. Threat Stack a créé un moteur d’inférence qui utilise les données étiquetées et classées pour faire des prédictions sur le comportement. Le moteur d’inférence détermine si le comportement est prévisible en fonction des données des événements environnants. Un comportement imprévisible représente une menace hautement prioritaire, qui est signalée au client sous forme d’alerte.

L'ajout de l'apprentissage supervisé à notre moteur de règles offre aux clients Threat Stack plusieurs méthodes de détection pour détecter les menaces pesant sur leur environnement cloud. Il permet aux organisations de répondre à la question : « Compte tenu du comportement historique de cette charge de travail, ce comportement était-il prévisible ou non ? » Les comportements prévisibles peuvent être ignorés en toute sécurité, tandis que les comportements imprévisibles représentent des menaces réelles et exploitables.

Par conséquent, ThreatML permet aux clients de se concentrer uniquement sur les menaces les plus prioritaires pour leur environnement. Cela limite la fatigue des alertes et utilise moins de ressources. L'approche d'apprentissage supervisé s'appuie sur des règles pour former les modèles automatiquement et en continu, offrant aux clients un moyen simple d'obtenir une détection des menaces à haute efficacité. Elle est similaire aux promesses de détection des anomalies d’efficacité opérationnelle, mais la méthode d’apprentissage supervisé ne risque pas de passer à côté des menaces les plus prioritaires pour l’environnement d’une organisation.

Pour discuter de la manière dont le nouveau ThreatML de Threat Stack avec apprentissage supervisé peut aider les opérations quotidiennes de sécurité cloud de votre organisation, contactez-nous dès aujourd'hui.

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .