Qu’est-ce que l’analyse du trafic chiffré basée sur l’IA ?

L’analyse du trafic chiffré basée sur l’IA utilise l’IA pour identifier les flux réseau chiffrés suspects ou malveillants. Cela est généralement réalisé en analysant les attributs non chiffrés du trafic réseau chiffré, avec un minimum ou pas de déchiffrement de la charge utile.

Le trafic réseau chiffré est de plus en plus courant comme moyen d’améliorer la confidentialité et la sécurité en ligne. Google et d’autres organisations ont fortement encouragé l’utilisation de protocoles réseau chiffrés, ce qui a entraîné plus de 95 % du trafic réseau étant chiffré aujourd’hui, selon le Rapport de transparence de Google. Bien que cela soit positif pour la confidentialité du réseau, cela limite la visibilité de la sécurité pour ces flux réseau, laissant potentiellement les organisations vulnérables aux logiciels malveillants et autres menaces.

Les modèles d’IA peuvent examiner les métadonnées, le comportement et les modèles de flux du trafic chiffré pour analyser le risque probable associé à ces flux. Dans le cadre d’une architecture SSE intégrée ou SASE, l’analyse du trafic chiffré basée sur l’IA peut améliorer les performances et la sécurité du réseau en réduisant le besoin d’effectuer un déchiffrement intensif en ressources du trafic réseau.

Pourquoi le trafic chiffré crée des angles morts pour la sécurité

Le Transport Layer Security (TLS) est un protocole réseau qui enveloppe les protocoles non sécurisés dans un enveloppe chiffrée pour la confidentialité et l’authentification. L’utilisation de TLS pour le trafic web est devenue courante, améliorant la confidentialité en ligne. Cependant, cette adoption croissante du chiffrement du trafic bénéficie également aux attaquants qui tentent de dissimuler du contenu malveillant dans les flux de trafic chiffrés. Le trafic réseau contenant des logiciels malveillants, du trafic de commande et de contrôle, et de l’exfiltration de données peut être opaque pour les outils de sécurité et se cacher parmi le trafic légitime.

De nombreux outils de sécurité dépendent de la capacité à analyser la charge utile du trafic réseau, que le TLS chiffre. En conséquence, l’utilisation croissante du chiffrement du trafic crée des angles morts de sécurité significatifs.

Comment fonctionnent les approches traditionnelles centrées sur le déchiffrement ?

Traditionnellement, les entreprises gèrent le défi introduit par le chiffrement du trafic réseau en effectuant le déchiffrement et l’inspection du trafic. Cela peut être réalisé de différentes manières, telles que l’utilisation de proxies réseau, d’appareils sur site ou de passerelles cloud. Cette approche de gestion du trafic réseau chiffré offre une visibilité approfondie sur le trafic réseau. En déchiffrant l’intégralité de la charge utile, un appareil de sécurité peut scanner l’ensemble pour détecter un contenu potentiellement malveillant.

Cependant, le déchiffrement complet du trafic a également ses inconvénients. Le déchiffrement complet du trafic est coûteux en ressources informatiques et peut introduire une latence supplémentaire dans la connexion. De plus, cela nécessite que l’organisation rompe avec le paradigme traditionnel du TLS en utilisant des certificats SSL d’entreprise, ce qui introduit des risques de sécurité et des préoccupations concernant la vie privée des utilisateurs.

Qu’est-ce que l’analyse du trafic chiffré basée sur l’IA ?

L’analyse du trafic chiffré basée sur l’IA s’attaque aux défis associés au trafic réseau chiffré en se concentrant sur les aspects non chiffrés du trafic. Les métadonnées des paquets, telles que les adresses IP et les tailles de paquets, ainsi que les caractéristiques des flux de trafic peuvent fournir des indices qui aident à différencier le trafic réseau légitime du trafic malveillant. Plus la télémétrie de haute qualité est collectée et analysée par ces systèmes, plus leurs conclusions sont précises.

Les systèmes d’analyse du trafic chiffré basés sur l’IA peuvent utiliser divers modèles pour détecter un trafic potentiellement malveillant. L’apprentissage automatique supervisé (ML) peut être utilisé pour détecter des modèles de trafic malveillant connus, tandis que l’apprentissage automatique non supervisé et la détection d’anomalies aident à identifier des comportements nouveaux.

Puisque l’analyse du trafic chiffré ne déchiffre pas les charges utiles, elle protège la vie privée des utilisateurs tout en identifiant les connexions susceptibles d’être risquées et suspectes. Cela permet aux dispositifs de sécurité de déchiffrer et d’inspecter sélectivement les sessions TLS identifiées comme les plus risquées.

Comment l’analyse du trafic chiffré protège la vie privée

L’analyse du trafic chiffré se concentre sur l’analyse des métadonnées, y compris la durée des flux, les tailles de paquets, le timing, les caractéristiques de la poignée de main TLS, le SNI et les attributs des certificats. Ces informations ne sont pas chiffrées dans les sessions TLS car elles sont moins sensibles que les charges utiles des paquets. En évitant le déchiffrement des charges utiles des paquets, où se trouvent les données de session des utilisateurs, ces outils protègent la vie privée des utilisateurs.

Comment l’IA détecte-t-elle les menaces dans le trafic chiffré sans déchiffrement ?

L’IA peut analyser les métadonnées du trafic pour détecter des formes courantes de trafic réseau malveillant, telles que le trafic de commande et de contrôle, l’exfiltration de données et le mouvement latéral. Certains modèles clés que l’IA peut reconnaître dans le trafic chiffré incluent :

• Le beaconing
• L’utilisation de chiffrements TLS inhabituels
• Des destinations de trafic inhabituelles
• SNI et certificats non concordants

Ces indicateurs peuvent être utilisés pour identifier un trafic potentiellement malveillant dans un environnement d’entreprise. Ces flux réseau peuvent être signalés pour déchiffrement par des systèmes de prévention d’intrusion (IPS) et des moteurs anti-malware, équilibrant sécurité, confidentialité et performance.

Exemples de fonctionnalités et de modèles d’IA en utilisation

Les solutions d’analyse de trafic chiffré basées sur l’IA peuvent utiliser diverses fonctionnalités pour identifier le trafic malveillant. Ceux-ci incluent :

• Empreintes de poignée de main TLS
• Statistiques de flux
• Scores de réputation des serveurs
• Anomalies de protocole
• Lignes de base de comportement

Les outils basés sur l’IA peuvent utiliser l’apprentissage supervisé ou non supervisé pour identifier les menaces. Les modèles supervisés sont formés sur un trafic malveillant/benin étiqueté pour identifier les menaces connues, et les modèles non supervisés détectent les écarts par rapport à un comportement « normal » pour la détection de nouvelles menaces. De plus, certaines plateformes intègrent des flux de renseignement sur les menaces et une logique basée sur des règles aux côtés de l’IA.

Quelles attributs de poignée de main TLS et de flux sont les plus importants ?

La poignée de main TLS est utilisée pour négocier une session TLS et contient une multitude d’informations utiles qui peuvent être utilisées pour différencier le trafic légitime et malveillant. Certains champs importants que les solutions d’analyse de trafic chiffré basées sur l’IA examinent incluent :

• Chiffres
• Versions
• Champs de certificat
• SNI
• Comportement de reprise de session
• Empreintes de style JA3

Le trafic légitime provenant des sessions utilisateur dans les navigateurs web aura certaines valeurs pour ces attributs. Par conséquent, toute déviation ou anomalie peut indiquer des services falsifiés, des frameworks de logiciels malveillants ou des canaux discrets. En recherchant ces signes d’avertissement, les outils d’analyse de trafic chiffré basés sur l’IA peuvent potentiellement différencier le trafic C2 et d’autres flux de données malveillants.

Comment l’inspection TLS s’intègre à l’analyse de trafic chiffré basée sur l’IA

L’inspection TLS et l’inspection de trafic chiffré basée sur l’IA sont des solutions complémentaires. L’IA peut analyser efficacement les métadonnées non chiffrées pour identifier les flux réseau nécessitant déchiffrement et analyse plus approfondie.

Pour équilibrer les considérations de performance et de sécurité, une méthodologie d’inspection TLS devrait suivre les meilleures pratiques et définir des politiques pour déterminer quand le déchiffrement doit être effectué et quand il peut être omis. Par exemple, un système peut exiger qu’un flux réseau avec un score de risque généré par l’IA supérieur à un certain seuil nécessite un déchiffrement. De plus, les politiques peuvent exiger ou interdire le déchiffrement pour certains types de trafic, tels que les connexions aux sites bancaires et de santé.

Avantages et limites de l’analyse de trafic chiffré basée sur l’IA

Ajouter une analyse de trafic chiffré basée sur l’IA aux côtés d’une inspection TLS sélective et sûre offre plusieurs avantages à l’organisation et à ses utilisateurs, notamment :

• Amélioration des performances : L’analyse par l’IA des métadonnées non chiffrées peut éliminer le besoin de déchiffrement intensif en calcul, améliorant ainsi la performance du réseau.
• Confidentialité améliorée : Le déchiffrement sélectif élimine le besoin de déchiffrer et d’analyser les flux réseau à faible risque.
• Réduction de la surcharge : Le déchiffrement sélectif nécessite moins de puissance de calcul que le déchiffrement complet, réduisant ainsi les coûts et les besoins en ressources.

Cependant, bien que le déchiffrement basé sur l’IA soit un outil utile, il a ses limites. Sans de bonnes données et modèles, les systèmes d’IA peuvent commettre des erreurs critiques. De plus, les systèmes peuvent avoir des faux positifs ou des faux négatifs, entraînant un déchiffrement inutile ou des menaces manquées.

Comment les équipes de sécurité devraient-elles opérationnaliser ces capacités ?

L’analyse du trafic chiffré basée sur l’IA doit être déployée avec précaution pour minimiser les impacts potentiels sur la sécurité et l’expérience utilisateur. Les meilleures pratiques incluent :

• L’activation des fonctionnalités d’analyse du trafic chiffré disponibles sur les plateformes existantes et l’ajustement minutieux des politiques.
• La création de manuels d’intervention pour trier les alertes de trafic chiffré à haut risque et les corréler avec les journaux des points de terminaison, d’identité et d’application.
• La réalisation d’un ajustement continu des modèles, en réintroduisant les incidents confirmés et les cas bénins dans le système pour améliorer les modèles.
• La définition claire des responsabilités entre les équipes réseau, sécurité et conformité lorsque le trafic chiffré et la confidentialité sont impliqués.

Questions fréquentes sur l’analyse du trafic chiffré basée sur l’IA

En quoi l’analyse du trafic chiffré basée sur l’IA est-elle différente de la décryption SSL ?

L’analyse du trafic chiffré basée sur l’IA tente d’identifier le trafic malveillant sans décryptage en examinant les métadonnées de session et d’autres informations non chiffrées dans une session chiffrée. Cela peut être moins coûteux en ressources informatiques et moins intrusif que la décryption SSL complète, ce qui en fait une bonne option pour identifier les sessions qui méritent une analyse plus approfondie du trafic déchiffré.

L’analyse du trafic chiffré remplace-t-elle l’inspection TLS ?

Non, l’analyse du trafic chiffré et l’inspection TLS sont des solutions complémentaires. En identifiant les sessions probablement malveillantes, l’analyse du trafic chiffré permet aux organisations d’éviter la nécessité de déchiffrer tout le trafic, en se concentrant plutôt sur les sessions à risque. Cela peut améliorer les performances en réduisant l’utilisation de décryptage gourmand en ressources et améliorer la confidentialité des utilisateurs sans compromettre la sécurité.

Quels types de menaces sont les mieux détectés avec l’analyse du trafic chiffré ?

L’analyse du trafic chiffré est particulièrement adaptée à l’identification du trafic réseau malveillant présentant des motifs structurels communs. Les cas d’utilisation courants incluent l’identification du trafic de commande et de contrôle (C2), l’exfiltration de données, les communications de botnets et les logiciels malveillants.

Comment l’analyse du trafic chiffré basée sur l’IA impacte-t-elle la confidentialité des utilisateurs ?

L’analyse du trafic chiffré basée sur l’IA élimine la nécessité de déchiffrer et d’inspecter chaque session réseau. Cela renforce la confidentialité puisque les données contenues dans les paquets réseau qui ne sont pas marqués pour un examen ultérieur ne sont jamais inspectées par l’appareil de sécurité.

Que doivent rechercher les organisations lors de l’évaluation des solutions ?

Les solutions d’analyse du trafic chiffré ne sont aussi bonnes que la télémétrie qu’elles collectent et analysent, ainsi que les modèles qu’elles utilisent pour l’évaluer. D’autres fonctionnalités critiques incluent la couverture de l’ensemble de l’environnement informatique d’une organisation et l’intégration avec d’autres outils de sécurité, idéalement dans le cadre d’un déploiement SSE/SASE convergé.

Comment les vulnérabilités de sécurité liées à l’IA affectent-elles l’analyse du trafic chiffré ?

L’analyse du trafic chiffré basée sur l’IA peut être un outil puissant, mais elle est également potentiellement vulnérable aux mêmes menaces que d’autres systèmes d’IA. Les attaquants peuvent empoisonner les données d’entraînement ou identifier des moyens d’échapper à la détection par un modèle d’IA. De plus, les angles morts dans la télémétrie alimentée au système et la dépendance excessive aux signaux d’IA pour la détection de trafic malveillant peuvent permettre aux attaques de passer à travers les mailles du filet.

Pour gérer ces menaces, les organisations doivent mettre en œuvre des modèles de gouvernance solides pour l’analyse du trafic chiffré. Une surveillance continue, des boucles de rétroaction et des garde-fous politiques clairs sont essentiels pour gérer les risques potentiels pour le système et la menace de détections manquées.

En fin de compte, l’analyse du trafic chiffré basée sur l’IA est un outil complémentaire à l’inspection TLS, fournissant des conseils éclairés concernant les flux réseau nécessitant un déchiffrement. Un programme de sécurité réseau bien conçu combine l’inspection TLS, l’analyse du trafic chiffré et une gouvernance solide.