From static detection methods to behavioral analysis

As attacks evolve more and more rapidly and in an increasingly sophisticated way, the SOC (Security Operations Center) is forced to review its approach and existing tools as static detection mechanisms become obsolete:

• The historical approach uses the recognition of known behaviors and footprints (e.g. malware signatures). This method, called misuse-based, provides explicit alerts that are easy to analyse for operational staff, but only attacks that have already occurred and been detected can be recognized.
• The new approach aims to analyse actions that deviate from the behavior normally observed, without having to explicitly and exhaustively define a malicious act (e.g. the behavior of an individual who deviates from that of his colleagues). This anomaly-based approach makes it possible to detect attacks that are not directly run through the tools but require high volumes of data.

The anomaly-based approach exploits the correlation capabilities of unsupervised learning algorithms that highlight links between unlabeled data (i.e. not categorized as normal or abnormal).

Recipe: detection of anomalies on a machine learning bed

To know if Machine Learning is appropriate for its context, the best solution is to create a PoC (Proof of Concept). How do you implement it? What are the key points to look out for? Here are the key steps in our development.

Starter, main or dessert: define the use case

Doing Machine Learning is good, knowing why is better. Defining a use case is like answering the question ‘What do you want to observe?’ and determining the means available to respond.

In our context, a use case is a threat scenario involving one or more groups of accounts (malicious administrators, exfiltration of sensitive data, etc…). To evaluate them, several criteria must be taken into consideration:

• Utility: what would be the impact if the scenario were to happen?
• Data availability: what are the available sources of useful data?
• Data complexity: is the available data structured (numbers, tables) or unstructured (images, text)?

We have chosen to work on the compromising of service accounts: some may have important rights, and their automated actions generate relatively structured data. In the context of a PoC, a limited scope, and homogeneous and easily accessible data sources are essential to obtain concrete and exploitable results, before considering more ambitious use cases.

Ingredient weighing: determine the data model

In order to make the best use of the data, it is necessary to define a behavior to be modeled based on available information. This is where business expertise comes in: can an isolated action be a sign of compromise or should a series of actions be considered for detecting malicious behavior?

First, we defined a model based on the analysis of unit and family logs (e.g. connections, access to resources, etc.) to evaluate the overall functioning. However, a model that is too simple will ignore weak signals hidden in action correlations, while a representation that is too complex will add processing time and be more sensitive to modelling biases.

Selection of tools: choose the algorithm

Several types of algorithms can be used to detect anomalies:

• Some try to isolate each point: if a point is easy to isolate, it is far from the others and therefore more abnormal.
• Clustering algorithms creates groups of points that look alike and from this it calculates the center of gravity of each one to create the average behavior: if a point is too far from the center, it is considered abnormal.
• Less common, auto-encoders are artificial neural networks that learn to recreate normal behavior with fewer parameters: behavior reproduction errors can be considered as an anomaly score.

Other approaches still exist, including the most exotic artificial immune systems that mimic biological mechanisms to create an evolving detection tool. However, it should not be forgotten that a simple and well optimized tool is often more effective than an overly complex tool.

The k-means clustering algorithm was selected in our case: used in the detection of bank fraud, it simplifies re-training which allows the tool to remain adaptable despite changes in behavior.

All these algorithms can also be enhanced, depending on the chosen behavior model, to consider a series of actions. Thus, convolutional or recurrent neural networks can be added upstream to take into account time series.

Preparation of ingredients: transforming data

Once the algorithm has been selected, the raw data must be processed to make it usable. This process is carried out in several steps:

• Cleaning: correction of parsing errors, removal of unnecessary information and addition of missing information.
• Enrichment: adding data from other sources and reprocessing fields to highlight information (e. g. indicate if a date is a public holiday…).
• Transformation: creation of binary columns for qualitative data (e.g. account name, event type, etc.) that cannot be directly transformed into numbers (one column for each unique value, indicating whether the value is present or not).
• Normalization: reprocessing the values so that they are all between 0 and 1 (to prevent one field from taking over from another).

Due to the variety of possible events and the complexity of the logs, we have chosen to automate this process: for each field, the algorithm detects the type of data and selects the appropriate transformation from a predefined library. The operator can then interact with the tool to modify the choice before continuing the process.

Seasoning: test and optimize the tool

Once the model has been defined, the algorithm chosen and the data transformed, the tool developed should be able to raise alerts on anomalies. Do these alerts make sense or are they false positives?

In order to evaluate the performance of the tool, we performed two types of tests:

• Intrusion simulation by performing malicious actions to check if they are detected as abnormal (this approach can also be handled by directly adding “false” logs to data sets).
• Analysis of anomalies by checking whether the alerts raised actually correspond to malicious behavior.

Many parameters can be adjusted in the algorithms to refine detection. Performance optimization is achieved through an iterative process; changing parameters and observing the effect on a set of validation data. Manually time-consuming, it can be improved by the AutoML approach which seeks to automate certain steps by using optimization algorithms.

However, parameter optimization is not enough: the results of our PoC have shown that the quality of detection based on behavioral analysis depends largely on the relevance of the behaviors defined before the algorithm is developed.

ML or not ML: that may not be the question

Despite its undeniable advantages, Machine Learning is a tool to be used in a rational way: frameworks are becoming increasingly accessible and easy to use, but the definition of the use-case and the behavior model are still crucial steps that exist. These choices, where business expertise is essential, will irreversibly influence the choice of data, the selection of the detection algorithm and the tests to be performed.

The question is no longer ‘Where can I put Machine Learning in my SOC? ‘, but rather ‘Of all the approaches available, which is the most effective to address my problem?’.

To find out, there’s only one solution: light the fires!

To go further…

… here are the tools used during our PoC:

• IDE
  • Pycharm: clear and practical development environment with efficient library management
• Language
  • Python: a language widely used in the field of Data Science with many powerful libraries
• Libraries
  • Scikit-learn: complete Machine Learning library (supervised, unsupervised…)
  • Pandas: complex processing of data tables
  • Numpy: handling of matrices and vectors
  • Matplotlib, Seaborn: display of graphics for visualization

Cet article Detect cyber incidents with machine learning: our model in 5 key steps! est apparu en premier sur RiskInsight.

Avec la diffusion de plus en plus importante des malwares, et depuis les révélations d’Edward Snowden en 2013, la sécurité et la confidentialité des échanges sont devenues des critères pesant lourd dans le choix d’une solution de messagerie instantanée. La multiplication des applications est rythmée par les incidents de sécurité, allant des soupçons de censure de WeChat par le gouvernement Chinois à l’installation de malwares à travers Telegram, ou plus récemment la vulnérabilité critique qui a touché WhatsApp. Ainsi, les applications de messagerie protègent-elles suffisamment les échanges des utilisateurs ? Quelles sont les réponses des éditeurs face aux menaces, criminelles comme étatiques, qui pèsent sur les messages qu’ils transportent ?

Le chiffrement de bout en bout : solution miracle ou simple outil marketing ?

Le chiffrement de bout en bout est souvent la solution mise en avant par les éditeurs pour montrer qu’ils prennent soin de la confidentialité des échanges, notamment en cas de demande d’un gouvernement ou d’un système judiciaire. Sa sécurité repose en effet sur le transport de messages inintelligibles pour l’éditeur, qui ne peut donc pas en révéler le contenu à quiconque, et déchiffrables uniquement par les destinataires.

A l’heure où nous écrivons ces lignes, plusieurs approches ont été adoptées par les éditeurs :

• La majorité applique un chiffrement de bout en bout par défaut, pour les discussions à deux ou en groupe – c’est le cas par exemple de WhatsApp, Viber, Signal, iMessage, Threema, Wire, etc.
• D’autres ne l’appliquent pas par défaut, mais permettent aux utilisateurs de l’activer en accédant à une « conversation secrète» – c’est le cas notamment de Telegram et Facebook Messenger. Il faut noter que dans ce cas, seuls les échanges entre deux personnes peuvent être « secrets », et pas les conversations en groupe.
• Les applications restantes ne proposent simplement pas de chiffrement de bout en bout – comme par exemple WeChat ou Discord. Les messages sont du moins transmis à travers un tunnel chiffré HTTPS, mais leur contenu est traité en clair et est lisible par les serveurs de l’éditeur.

Pour assurer le chiffrement de bout en bout, différents mécanismes sont utilisés par les applications. Aujourd’hui, la plupart des applications s’appuient sur des mécanismes robustes, reposant sur des algorithmes de chiffrement à l’état de l’art (Curve25519, AES256…). Parmi ces mécanismes, on peut noter le protocole open-source Signal, développé par Open Whisper Systems pour son application éponyme, et depuis utilisé par d’autres applications comme WhatsApp ou dans les « conversations secrètes » de Facebook Messenger.

On peut donc considérer que les applications proposant un chiffrement de bout en bout ont une plus-value certaine, tout du moins pour les utilisateurs soucieux de la confidentialité ou du caractère privé de leurs conversations. Face à cela, le bon vieux SMS – qui, rappelons-le, reste vulnérable à une attaque de type man-in-the-middle – fait pâle figure !

Néanmoins, comme nous allons le voir, il ne faut pas s’arrêter au chiffrement de bout en bout qui, seul, pourrait donner un faux sentiment de sécurité aux utilisateurs.

Au-delà du chiffrement de bout en bout : d’autres facteurs pour mieux apprécier la sécurité de ces applications

Mis à part le contenu des discussions, vraisemblablement protégé lorsqu’il est chiffré de bout en bout, les messageries instantanées manipulent un certain nombre de métadonnées : contacts, numéros de téléphone, date et heure d’envoi des messages… Autant de données qui représentent déjà une source importante d’informations sur l’utilisateur, et qui sont souvent collectées par l’éditeur et stockées sur ses serveurs – c’est le cas notamment des applications WhatsApp et iMessage. Certaines applications proposent un niveau de confidentialité supérieur en assurant que seul un minimum d’informations sera collecté – ainsi l’application Signal par exemple collecte uniquement les dates et heures d’inscription et la date de dernière connexion.

Par ailleurs, des fonctionnalités de sécurité supplémentaires permettent d’atteindre un meilleur niveau de confidentialité. Par exemple, certaines applications comme WhatsApp ou Signal permettent de confirmer le chiffrement de bout en bout en scannant un QR-code sur le smartphone du destinataire. D’autres comme Telegram ou Signal offrent la possibilité d’envoyer des messages éphémères, qui s’auto-détruisent au bout de quelques secondes ou minutes, ce qui peut être intéressant pour certains usages mais reste limité (possibilité de capture d’écran voire photo de l’écran).

Pour les communications de groupes, les applications se basent souvent sur un serveur central pour authentifier les utilisateurs et déterminer qui reçoit les messages, comme c’est le cas par exemple pour WhatsApp ou Signal. La compromission de ce serveur peut ainsi permettre à un attaquant d’ajouter un faux membre à un groupe pour accéder aux échanges. Pour contrer cette attaque, la notification lors de l’ajout d’une personne à la discussion est souvent la fonctionnalité choisie, mais des solutions comme celle de la startup française Olvid vont plus loin en faisant le pari d’une authentification sans tiers de confiance basée sur la cryptographie.

Dans un contexte professionnel, mis à part le risque de perte de confidentialité des échanges, il faut également considérer le risque d’indisponibilité de l’application. On peut estimer au premier abord qu’une application grand public telle que WhatsApp, qui possède plus d’1 milliard d’utilisateurs, a un risque d’indisponibilité assez faible. Mais dans le cas d’un besoin fort en disponibilité, l’absence de garantie de services de la part de ces applications pourrait rendre ce risque inacceptable. Il conviendrait alors de se tourner vers une solution professionnelle, plus à même de proposer des garanties de services (SLA) – telle que Threema ou Wire par exemple.

La sécurité de l’application ne suffit pas : d’autres vecteurs d’attaque sont à neutraliser

Nous avons jusqu’ici principalement considéré la sécurité de la communication portée par l’application. Il y a cependant d’autres sources de menace à ne pas oublier, en considérant l’ensemble de la chaîne :

Illustration du fonctionnement d’une application de messagerie instantanée

Il faut notamment garder à l’esprit que les données des conversations sont stockées en local sur les appareils utilisés, qu’il s’agisse de smartphones ou d‘ordinateurs. Un appareil mal protégé permettra donc à un attaquant d’avoir accès à toutes les conversations stockées par l’application sur l’appareil. Pour arriver à ses fins, l’attaquant pourra agir à distance à travers un malware installé sur l’appareil, ou plus directement en le volant.

Par ailleurs, les applications proposent souvent de sauvegarder les données des conversations dans un Cloud (par exemple iCloud ou Google Drive). L’activation de cette sauvegarde implique donc qu’une copie des données est stockée auprès du fournisseur Cloud, ce qui représente un vecteur d’attaque supplémentaire.

Choisir son application de messagerie sécurisée, tout en restant vigilant

Pour choisir parmi les nombreuses applications de messagerie instantanée, il faut donc prendre en compte ses besoins et cas d’usages en même temps que les fonctionnalités proposées. Le chiffrement de bout en bout semble à présent être une garantie incontournable pour une confidentialité correcte. Certaines applications présentent par ailleurs d’autres fonctionnalités permettant d’atteindre un niveau de sécurité supérieur : collecte minimaliste d’informations, confirmation supplémentaire du chiffrement de bout en bout, messages éphémères, etc.

Face au défi d’allier sécurité et simplicité d’utilisation, de nombreuses startups ont vu le jour, avec de nouvelles offres tournées vers les entreprises et organisations. Ainsi, certaines comme Citadel mettent en avant leur ancrage français pour éviter l’ingérence de gouvernements étrangers, tandis que d’autres comme Shadline proposent de répondre à des besoins plus spécifiques tels que la résilience face aux attaques.

Néanmoins, malgré toutes les fonctionnalités de sécurité que peuvent proposer les applications, il suffit d’une seule faille dans le code source pour remettre en question la sécurité de l’appareil : nous l’avons récemment constaté avec la vulnérabilité qui a touché WhatsApp. Il ne faut donc pas baisser sa garde, et veiller à respecter les mesures de sécurité les plus basiques – installer les mises à jour des systèmes et applications lorsqu’elles sont disponibles, sécuriser son appareil (chiffrement du disque, authentification), utiliser un mot de passe robuste, changer de mot de passe régulièrement, etc. – afin de protéger a minima l’appareil utilisé pour communiquer !

Cet article Des applications de messagerie instantanée vraiment sécurisées ? est apparu en premier sur RiskInsight.