Darktrace commercialise sa solution de riposte automatique

Contrer automatiquement les attaques dans leur phase active peut paraître séduisant. C’est ce que promet Antigena, la solution de réponse aux attaques que Darktrace avait annoncée il y a un an et qu’il lance aujourd’hui commercialement. 

Pour mémoire, le britannique applique l’apprentissage automatique à l’analyse des flux réseau - physiques comme en environnement virtualisé et Cloud. Cette observation, couvrant autant que possible toutes les couches du modèle ISO, doit permettre de reconstituer les flux de données afin de comprendre les utilisateurs et leurs activités. 

L’approche ne va pas sans rappeler cette de Vectra Networks, présent en France depuis peu, qui s’attache lui aussi aux flux réseau pour détecter les attaques durant leur phase dite active : celle qui recouvre les communications avec les centres de commande et de contrôle, la reconnaissance, les déplacements latéraux, l’accès distant, ou encore l’exfiltration de données, notamment. Mais l’approche de Vectra Networks s’arrête là : à la détection.

Antigena promet d’aller plus loin, à la manière d’un système immunitaire, pour reprendre l’analogie de Darktrace. Dans un communiqué de presse, ce dernier explique que sa solution prend automatiquement « des mesures de remédiation proportionnées pour neutraliser la menace » et donner le temps aux équipes de sécurité d’intervenir. Le britannique illustre : sa solution « peut ralentir ou stopper une connexion ou un appareil compromis, mais n’affecte pas les activités métiers normales ». Au programme également, mise en quarantaine partielle ou complète d’utilisateurs, de systèmes ou d’appareils - mais pas de manière aussi destructive que le Cyberblast imaginé avec humour par les équipes de Cybereason -, ou le marquage de contenus, comme des e-mails, méritant un examen approfondi. Plusieurs clients l’auraient expérimentée depuis son annonce initiale, à commencer par la municipalité de Las Vegas.

Darktrace Antigena doit permettre aux équipes de sécurité de regarder ce qui se passe en coulisse, et d’étudier ce qui a poussé la solution à intervenir. De quoi rassurer, peut-être. Fin 2015, Balasz Scheidler, co-fondateur de Balabit, soulignait l’importance, pour l’utilisateur, de comprendre ce que fait la machine : « si je ne comprends pas comment fonctionne un algorithme, je ne vais pas lui faire confiance; je suis sceptique ». Et d’estimer que l’adoption, la progression « doit se faire de manière incrémentale afin que l’on comprenne les étapes intermédiaires, afin de les accepter ». 

Une récente étude réalisée par Carbon Black auprès de 410 chercheurs en sécurité tend à appuyer ce raisonnement. Près des trois quart d’entre eux estiment que les solutions de sécurité basées sur des formes d’intelligence artificielle continuent de présenter des défauts. Et parmi les principaux risques, ils citent notamment les taux de faux positifs et la capacité des pirates à échapper à ces solutions. Simon Crosby, qui a dévoilé en 2012 Bromium, misant sur l’encapsulation des processus à risque du poste de travail, dans des micro-machines virtuelles, ne disait pas autre chose, récemment, évoquant les travaux travaux du projet EvadeML et une présentation des équipes de BluVector, l’été dernier, lors de la conférence BSidesLV. 

Et c’est sans compter sur la difficulté à décider du bon moment où intervenir, avant que des dommages irréversibles ne surviennent, mais pas trop tôt non plus afin de pouvoir collecter des renseignements sur les attaquants. Ce à quoi peuvent aider des solutions tierces, de leurre, comme celles de TrapX, Illusive Networks ou encore Cymmetria. 

Alors, si pour beaucoup, à commencer par Art Coviello, ancien président exécutif de RSA, l’avenir de la sécurité informatique passe par l’intelligence artificielle, près de 9 chercheurs sur 10 sondés par Carbon Black assurent qu’il leur faudra plus de trois ans avant de faire suffisamment confiance à ces technologies pour guider leurs décisions.