Les solutions de cybersécurité peuvent générer des faux positifs, bien connus des équipes SOC et en partie responsables de l’alert fatigue. Ce phénomène, apparu ces dernières années, désigne l’accumulation d'événements sécurité et de « bruit » que doit gérer quotidiennement un administrateur. Mais peuvent être également responsable du blocage de l’activité de collaborateurs. Faux positifs et cybersécurité, décryptage d’un phénomène informatique.
D’après l’étude The Orca Security 2022 Alert Fatigue Report, 20% des alertes de sécurité dans le cloud seraient classifiés comme faux positifs. Au-delà de l’impact direct sur le blocage de l’activité des collaborateurs et de l’impact moral sur les équipes IT, quelles sont les répercussions sur la sécurité de l’entreprise ? Quelle en est la source et comment l’endiguer ? Explications.
Le grain de sable des faux positifs
C’est quoi un faux positif ? Un faux positif est une alerte, notification ou réaction à tort suite à une situation assimilée comme un problème voire une menace sur un actif informatique ou sur le réseau d’une entreprise. Ces faux positifs peuvent être générés, par exemple, par une interprétation erronée de la part des équipes SOC. Ou directement au niveau des solutions de cybersécurité comme les EDR (Endpoint Detection & Response), firewalls et autres systèmes de prévention de perte de données (Data Loss Prevention – DLP), sous la forme d’un flux légitime considéré comme dangereux, d’un site internet légitime considéré comme malveillant ou encore d’un message légitime considéré comme indésirable….
Quels sont les risques engendrés par la génération de faux positifs ? La génération de ces faux positifs en cybersécurité peut impacter tout ou partie de l’organisation et générer un ensemble de dysfonctionnements dans la chaîne de prise de décision de la SSI.
- Un impact sur le fonctionnement de l’entreprise : en déclenchant des actions correctives automatiques liées à des faux positifs, des coupures de services peuvent être observées. En analysant à tort l’information, certaines solutions de protection vont empêcher le fonctionnement d’un outil ou l’accès à une ressource, pourtant tous deux légitimes. Et donc empêcher les collaborateurs de travailler.
- Une baisse de confiance dans les solutions de détection : la génération répétée de faux positifs peut conduire à une perte de confiance des collaborateurs envers les solutions et protection, mais aussi des analystes dans la pertinence des systèmes de détection. Le taux d’utilisation des solutions mais aussi le niveau de vigilance baissent ; ce qui favorise l’émergence de menaces réelles.
- Une perte de temps et de ressources : dans un contexte où la charge de travail des équipes de sécurité est déjà très importante, la présence de faux positifs nécessite d’effectuer des vérifications supplémentaires. Cette étape inutile entraîne une perte de temps et d'efficacité opérationnelle, les experts sont ainsi détournés des comportements à réellement prioriser. Selon la même étude d’Orca, plus de la moitié des personnes interrogées affirment que leur équipe a manqué des alertes critiques par le passé en raison d'une hiérarchisation inefficace des alertes, souvent sur une base hebdomadaire, voire quotidienne.
Ce phénomène est également observé dans des environnements industriels à cause de problèmes de communication comme le rapporte Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield : « Il n’est pas rare qu’une maintenance soit planifiée sur une machine sans que l’équipe SOC ait été préalablement informée. Dans ce cas de figure, le technicien arrive sur site et effectue ses modifications. Cette intervention de maintenance génère du trafic qui peut être interprétée comme une anomalie pour l’équipe SOC. Une investigation est alors lancée : l’équipe SOC informe l’équipe locale d’une potentielle anomalie et demande une vérification sur place. Mais au final, on s’aperçoit que c’était simplement une intervention de maintenance et toute cette phase de détection et de vérification a consommé du temps et des ressources pour rien ».
Comment réduire les faux positifs ?
Derrière cette première question, s'en cache en fait une autre plus large incluant le risque opposé, des faux négatifs : faut-il trop bloquer plutôt que pas assez ? Et derrière une formule volontairement provocatrice, revient l'éternel débat autour des projets de sécurité et même sur l'intégration des produits de sécurité dans le quotidien opérationnel des équipes. Car si un produit de sécurité vient 'trop' bloquer, et notamment des usages et programmes légitimes, le risque est d'avoir un rejet de ce produit par la base d'utilisateurs. Des utilisateurs qui tenteront alors d'esquiver ce produit de sécurité, voire de le désinstaller... Tout est une question de mesure, explique Edouard Simpère, Responsable Threat Intelligence chez Stormshield : « avec un produit qui bloque moins, le périmètre sécurisé est forcément plus réduit mais les risques de blocage de l'activité le sont également. Et surtout, le produit ne rencontre pas de réticences de la part des utilisateurs. La limite entre comportement malveillant et légitime est parfois si fine qu’à vouloir bloquer les attaquants, on finit surtout par se bloquer soi-même ». C'est pour compléter cette protection cyber que se renforcent les solutions d'EDR ; le prisme n'est plus de chercher à bloquer à tout prix mais de mieux bloquer, en réaction à la détection. Les utilisateurs ne sont pas ainsi dérangés car le produit de sécurité est transparent et les services IT (et de cybersécurité) sont alimentés en alertes de sécurité.
La question de réduire les faux positifs restent pour autant pertinente : comment les systèmes de sécurité peuvent-ils minimiser les faux positifs ? Et la réponse passe par une phase d’ajustement des règles de détection, de l’apprentissage ou encore de l’intelligence artificielle. En se basant sur les données en temps réel du trafic réseau, les logs de sécurité, les règles de détection vont être ajustées et adaptées à la réalité de l’entreprise et de son mode de fonctionnement. Les mises à jour régulières (voire automatiques) des politiques de protection par défaut ainsi que des bases de sécurité, mais aussi la fourniture de règles particulières sur certaines applications très utilisées mais sujettes à des déclenchement de faux-positifs spécifiques, sont des éléments-clés de la protection des entreprises. Ce processus itératif est toutefois à piloter finement pour ne pas abaisser le seuil de détection. Et pour compléter cette protection en identifiant de nouvelles techniques d’attaque et leurs comportements suspects associés, il est également important de s’appuyer sur des analyses de cyberattaques et des référentiels comme MITRE ATT&CK. Autant de réglages qui peuvent s’avérer complexes et qui supposent de bien maîtriser les solutions de sécurité, le fonctionnement de leurs moteurs et les logs qu’ils envoient. Plusieurs autres pistes au niveau de la communication au sein de l’entreprise peuvent également permettre la réduction des faux positifs sans réduire le niveau de protection :
- Contextualiser la donnée en fonction des actions sur site : les données de télémétrie doivent être contextualisées en fonction de l’environnement de production. Sans contextualisation, une donnée brute pourrait être mal interprétée. Côté réseau par exemple, le moteur IPS (Intrusion Prevention System) repose sur une analyse protocolaire ciblée dans les paquets réseau. Autre exemple du côté des terminaux, avec la contextualisation des connexions Wifi.
- Une meilleure compréhension des environnements IT et OT : chaque environnement ayant ses spécificités techniques, les mécanismes de détection doivent intégrer la notion de contexte. Sans compréhension préalable, l’analyste ne sera pas capable de déterminer si l’information remontée est légitime ou non.
- Instaurer un même niveau de communication entre les équipes SSI et de production : c’est par l’instauration d’un processus de communication strict, au niveau des interventions comme de la maintenance par exemple, que des erreurs pourront être évitées.
Faux positifs : et demain ?
EDR, NDR, XDR, MDR : les sigles se multiplient et témoignent d’une spécialisation de l’approche de la Detection & Response dans les produits de cybersécurité. En complément, les équipes de Threat Intelligence et de Threat Hunting viennent enrichir la capacité de détection des cyberattaques les plus sophistiquées. Des équipes qui recherchent des indicateurs d’attaque (Indicator of attack – IoA) et de compromission (Indicator of compromise – IoC) en suivant un double objectif de connaissance de la menace et de réduction des faux positifs. À noter qu’en parallèle de la détection, il reste indispensable pour les outils de protection endpoint d’intégrer une capacité à bloquer la menace.
Le développement d’une architecture appelée SOAPA (Security Operations and Analytics Platform Architecture) pourrait être une autre réponse. Développée par John Oltsik, analyste principal chez Enterprise Strategy Group en 2016, l’architecture SOAPA est composée de plusieurs catégories de produits permettant de collecter, traiter, partager et analyser efficacement les données. L’intérêt de cette architecture réside dans la génération de l’alerte auprès de la brique SOAR uniquement après être certain de sa légitimité. Si sur le papier cette solution peut endiguer le problème, la question de la durée de traitement reste de mise.
Mais le temps que cette architecture devienne la norme, les entreprises doivent continuer à s’appuyer sur les bonnes pratiques et le bon sens autour de la réduction de la surface d’attaque et de l’utilisation de la remédiation automatique seulement pour les actifs informatiques les plus sensibles. Ainsi, la mise en place de meilleures pratiques de gestion des alertes (usage de l’analyse comportementale corrélé à un référentiel de cybersécurité en plus des règles de détection, automatisation des processus, formation des analystes…) couplé à un cycle d’amélioration continue des processus du SOC peuvent permettre d’augmenter les capacités opérationnelles de ce centre névralgique de la cybersécurité.
Face à l’expression “Trop de données tuent la donnée”, la piste de l’automatisation de l’analyse de données se veut être intéressante. L’entraînement d'algorithmes d’intelligence artificielle intégrant les contraintes de l’environnement de production pourrait permettre a minima de traiter les alertes les plus simples, laissant les cas les plus complexes aux analystes. D’autres pistes comme le questionnement de la pertinence de la donnée et de sa durée de vie pourraient également permettre de réduire le volume généré. Autant de sujets propices à de futurs articles.
