Dans mon dernier article, j'ai présenté quelques-uns des facteurs qui ont contribué à nos récents succès et quelques-unes des raisons pour lesquelles nos clients ont choisi nos solutions.
J'ai mentionné que beaucoup de nos clients nous trouvent parce qu'ils recherchent un « meilleur système de détection d'intrusion (IDS) » pour remplacer leur solution vieillissante ou inefficace. Les décideurs comprennent rapidement que notre expertise approfondie de Suricata nous a permis de créer exactement cela, et bien plus encore.
Notre solution Stamus Network Detection (ND) est un remplacement immédiat de leur IDS et offre une détection des menaces plus fiable, que ce soit pour du trafic nord-sud ou est-ouest, et peut être déployé sur site ou dans des environnements cloud. Et parce que nous intégrons à la fois les puissantes fonctionnalités d'IDS et d'analyse réseau orientée sécurité (NSM) de Suricata, couplé à la compréhension du contexte spécifique de chaque entreprise, ainsi que le triage automatisé des alertes, l'analyse des événements et les investigations sur incidents peuvent être effectués avec beaucoup moins de ressources.
Ainsi, bien que nous soyons connus dans l'industrie pour nos solutions commerciales Suricata, nos clients reconnaissent que Stamus ND offre bien plus qu'un simple support commercial d'un projet open source extraordinaire.
Dans cet article, je vais expliquer comment notre approche axée sur les résultats par l'ajout de nouvelles technologies de détection et l'utilisation du renseignement sur les menaces (threat intelligence) permet aux entreprises d'accroître davantage la confiance et de réduire leurs besoins en ressources. Le résultat - Stamus Network Detection and Response (NDR) - est disponible sous forme de mise à niveau de licence pour les utilisateurs de Stamus ND.
Embrasser la détection “Vraiment Pertinente”
Nos clients nous disent que l'un de leurs plus grands problèmes lors de l'évaluation des solutions de sécurité réseau est de réussir à savoir si l'efficacité réelle des solutions évaluées est à la hauteur des effets d'annonces des éditeurs. Par exemple, nous entendons régulièrement des plaintes au sujet du machine learning (ML), « magie noire », et de l'intelligence artificielle (IA), une technologie qui pourtant semble découvrir des choses intéressantes mais qui ne fournit que peu de preuves ou d'explications.
Sans preuves à l'appui, ces systèmes ne font que fournir davantage d'indicateurs de compromission qui nécessitent chacun une investigation par des analystes sécurité en utilisant des logs et autres données disponibles. Il faut faire quelque chose pour que cela soit utile.
Chez Stamus Networks, nous sommes animés par une obligation de détecter tout ce qui est possible. Mais en fin de compte, même la meilleure détection n'est pas si utile si elle entraîne trop de bruit et pas assez d'informations. Et une détection qui n'est pas étayée par des preuves est presque inutile. C'est pourquoi nous nous efforçons de rendre notre détection aussi utile que possible.
Nous l'avons d'ailleurs codifié dans l'un de nos principes fondamentaux: Offrir la détection la plus utile possible. Point final.
C'est pourquoi nous intégrons un large éventail de techniques de détection. Cela inclut du machine learning - oui - mais aussi les signatures, les algorithmes d'anomalie et des règles simples. C'est pourquoi aussi nos solutions intègrent des services tiers de renseignements sur les menaces (threat intelligence) et permettent une personnalisation substantielle. Et c'est pourquoi aussi nous corrélons ces résultats et enrichissons toutes les données avec le contexte organisationnel pour fournir les preuves nécessaires pour une réponse rapide.
Nous sommes ravis que nos clients aient validé cette approche en nous disant que nous détectons fréquemment des menaces que leurs autres systèmes ne voient pas.
En fin de compte, notre objectif est de simplifier la vie de nos clients en leur fournissant des Declarations of Compromise ™ - des indicateurs pertinents et de haute confiance qui indiquent que quelque chose nécessite une attention immédiate et en leur fournissant les preuves pour confirmer et résoudre rapidement l'incident.
Au sujet du Machine Learning et des Signatures
Historiquement, les signatures - également appelées règles de détection - ont été le mécanisme principal de détection des menaces pour les systèmes de détection d'intrusion réseau basés sur Suricata (et Snort avant cela). Des équipes de chercheurs en cybersécurité travaillent sans relâche pour développer des signatures pour chaque nouveau type d'attaque. En fait, c'était l'activité principale de mon ancien employeur, Emerging Threats, qui fait maintenant partie de Proofpoint. Lorsqu'elles sont bien écrites, les signatures peuvent détecter non seulement les menaces connues, mais également les futures attaques Zero Day.
Récemment, nous avons vu que l'IA et le ML peuvent être très efficaces pour trouver certaines choses et résoudre certains problèmes. Ces technologies ont sans aucun doute leurs forces et ont démontré un potentiel immense, c'est pourquoi elles ont créé un tel buzz.
Mais dans de nombreux cas, les résultats du ML et de l'IA indiquent simplement une « activité anormale » et non pas des menaces imminentes et certaines. Ainsi, à chaque observation d'activité anormale signalée par le système ML/AI, un analyste qualifié doit toujours effectuer une investigation pour confirmer ou rejeter l'alerte. C'est ce manque de preuves enregistrées par certains systèmes actuels, que nous appelons « événements inexplicables », qui rend le travail de l'analyste difficile. Et c'est aussi pourquoi il est difficile d'utiliser ces signaux d'anomalies pour déclencher une réponse automatisée.
Cela étant dit, nous avons constaté que lorsqu'il est correctement intégré à d'autres techniques de détection, le ML peut offrir une forte valeur ajoutée en découvrant des activités suspectes qui pourraient être manquées autrement et peut aussi fournir des preuves corroborantes pour faciliter l'investigation.
De fait, nous dévoilerons bientôt la première de nos fonctionnalités d'apprentissage automatique (ML) pour Stamus NDR, qui présentera une «activité suspecte» à l'analyste, étayée par des preuves corroborantes de nos autres techniques de détection et d'enrichissement des métadonnées. Nos recherches ont montré que c'était la voie à suivre pour fournir la détection la plus "utile" et rendre le travail du défenseur plus simple et plus efficace.
Nous sommes très enthousiastes par les résultats que nous avons vus et ce que nous avons pu détecter dans nos environnements de test. Nous en détaillerons cette fonctionnalité prochainement, alors restez à l'écoute.
De même, il existe de nombreux incidents sur lesquels la détection basée sur des signatures/règles est toujours extrêmement efficace. Et nous n'allons pas abandonner cette approche simplement parce que l'industrie pense que l'IA et le ML sont plus sexy en ce moment. En fait, nous innovons sans relâche pour améliorer l'efficacité de la détection par signatures et pour la rendre plus utile à l'expert sécurité, par exemple en les intégrant avec du renseignement sur les menaces (threat intelligence) de niveau supérieur et en enrichissant les alertes qu'elles déclenchent pour créer un ensemble d'indicateurs présentés avec nos "Declarations of Compromise".
Une chose que j'ai apprise pendant mon mandat de PDG d'Emerging Threats, c'est que les bonnes règles de détection sont en fait très efficaces. La rédaction de règles est une compétence très spécifique et, malheureusement, au fil des années, de nombreux éditeurs ont fourni des règles de qualité inférieure avec leurs outils IDS, créant une frustration parmi les équipes de sécurité envers les systèmes de détection basés sur des règles. Cela a sans aucun doute contribué à l'attitude « les règles sont pourries, alors utilisez l'intelligence artificielle ! » entre autres choses.
Chez Stamus Networks, nous croyons fermement à l'application de la meilleure technologie disponible pour chaque problème à résoudre. Nous ne nous considérons pas comme une « entreprise d'intelligence artificielle (IA) » et - cela pourrait en surprendre certains - nous ne nous considérons pas non plus comme une entreprise « de signature » ou de « règles ». Stamus Networks est une société de sécurité réseau qui s'efforce de rendre le travail du défenseur plus facile et plus efficace en utilisant toute technologie qui s'avère efficace.
La prochaine étape c'est le NDR
L'essor du Network Detection & Response (NDR) est la prochaine étape logique de l'évolution de la sécurité réseau pour qu'elle soit efficace. Il offre la promesse très réelle de combiner une détection des menaces extraordinairement puissante avec les économies de ressources résultant de l'automatisation des éléments clés de la réponse à incident d'une entreprise.
Mais pour que la NDR réalise pleinement son potentiel, deux choses doivent se produire:
- Les professionnels de la sécurité et les experts ne doivent pas considérer le NDR comme une technologie unique dont la détection est basée uniquement sur le machine learning (ML). Comme je l'ai mentionné plus tôt, nos clients ont rencontré un fort succès dans l'utilisation d'une approche à large spectre pour la détection des menaces.
- L'industrie doit fournir un chemin clair entre les cas d'usages historiques de l'IDS et le NDR. Cela devrait inclure des options de remplacement pour les IDS d'aujourd'hui, et inclure une mise à niveau transparente vers le NDR.
Chez Stamus Networks, nous avons la chance que nos clients soient lucides en ce qui concerne le point #1, et notre capacité à livrer le point #2 (Stamus ND → Stamus NDR) nous vaut de nombreux fans.
