CrowdStrike fait progresser l’utilisation de l’IA pour prédire les modèles d’attaques adverses
- CrowdStrike annonce de nouveaux modèles d’indicateurs d’attaque (IoA) alimentés par l’IA, conçus pour combattre les embarcations adverses avancées, disponibles plus tard cette année.
- Les IoA alimentées par l’IA utilisent l’intelligence artificielle pour arrêter les violations, en détectant et en prédisant les comportements malveillants en temps réel, quels que soient les outils ou les logiciels malveillants utilisés.
Depuis la création de CrowdStrikes en 2011, nous avons été les pionniers de l’utilisation de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) dans la cybersécurité pour résoudre les problèmes les plus urgents de nos clients. Notre application de l’IA s’inscrit dans trois catégories pratiques :
- Utiliser l’IA pour lutter contre des attaques de plus en plus sophistiquées en identifiant le comportement de l’adversaire et les schémas de menace
- Résoudre les problèmes de données à grande échelle en analysant rapidement et à grande échelle les renseignements et la télémétrie des menaces
- Combler la pénurie de compétences en cybersécurité en utilisant l’IA pour automatiser les tâches de sécurité répétitives et libérer l’intelligence à la vitesse de la machine pour automatiser la détection et la réponse
Parmi les domaines pionniers de CrowdStrike figurent les premiers indicateurs d’attaque (IOA) alimentés par l’IA. Concept introduit pour la première fois par CrowdStrike, les IOA sont des séquences d’événements observés qui indiquent une tentative active de violation d’un système (comme l’exécution de code, la persistance et mouvement latéral). En examinant ces événements et processus sur une surface d’attaque, les IOA permettent aux organisations de remplacer les silos entre les outils pour de manière holistique étudier leur environnement, ce qui leur permet de mieux prédire et prévenir les indicateurs d’activité suspecte et de découvrir les embarcations sophistiquées de l’adversaire.
L’année dernière, nous avons accéléré le processus de génération d’IOA avec le lancement de IOA alimentés par l’IAen appliquant l’IA au processus de génération de nouveaux indicateurs d’attaque et en élargissant notre défense multicouche à partir du capteur et du cloud (aux côtés de la classification des logiciels malveillants basée sur le ML et des IOC et IOA existants). L’application de la puissance de l’intelligence artificielle native du cloud au processus de génération d’IOA nous a permis d’augmenter la vitesse à laquelle nous détectons de nouveaux modèles de comportement tout en améliorant considérablement la précision des modèles. Nous tirons parti de l’apprentissage en profondeur grâce à la technologie des réseaux de neurones convolutifs ressemblant à la structure du cortex visuel animal pour découvrir et anticiper de nouveaux modèles contradictoires.
Lors du lancement, nous avons publié deux modèles inauguraux : l’un ciblant les charges utiles post-exploitation malveillantes et l’autre détectant les scripts PowerShell malveillants. Aujourd’hui, nous sommes ravis de partager que nous étendons nos capacités IOA existantes alimentées par l’IA à tous les clouds. Ces protections seront disponibles pour les clients CrowdStrike dans le monde plus tard cette année.
L’Arsenal s’agrandit : de nouveaux indicateurs d’attaque alimentés par l’IA
Les adversaires font continuellement évoluer leur métier en créant de nouveaux scripts, en détournant des outils légitimes et en découvrant de nouvelles méthodes pour échapper à la détection. Selon le Rapport CrowdStrike 2023 sur les menaces mondiales71 % des attaques sont désormais exemptes de logiciels malveillants, tandis que 80 % des attaques utilisent désormais des informations d’identification volées ou compromises.
Les adversaires trouvent de nouvelles façons d’obtenir un accès initial et de réaliser un mouvement latéral et ils se déplacent plus rapidement que jamais, avec un nouveau temps d’évasion moyen de 84 minutes. Ces nouvelles classes d’IOA alimentées par l’IA étendent la couverture alimentée par l’IA à bon nombre de ces vecteurs d’attaque émergents pour donner aux équipes de sécurité la vitesse et la précision nécessaires pour arrêter les adversaires d’aujourd’hui. Les nouvelles innovations incluent les suivantes.
Innovation : analyse du comportement atomique multi-processus sous Windows
Un comportement atomique est une opération effectuée par un processus qui n’est pas suffisamment malveillant pour créer une détection mais qui peut indiquer une activité de l’adversaire. Par exemple, prendre une capture d’écran peut être malveillant, mais peut aussi être bénin. Falcon utilise des indicateurs d’attaque, des indicateurs de compromission et des indicateurs de comportement qui sont envoyés au cloud pour déclencher des incidents CrowdScore et des combinaisons spécifiques de comportements atomiques pour prendre en charge les détections. Cependant, il existe un grand nombre de comportements atomiques qui ne sont pas stockés dans le cloud et qui n’existent pas en tant que détections existantes. Ces données fournissent des informations riches pour l’apprentissage automatique.
Les pirates exploitent souvent plusieurs outils, formats de fichiers et processus pour orchestrer des attaques dans un environnement cible. L’observation de l’activité d’un outil ou d’un processus peut ne pas fournir un contexte suffisant pour discerner avec certitude si elle est bénigne ou malveillante. En examinant les comportements atomiques multi-processus, ce modèle exploite le riche contexte collecté par la plate-forme pour fournir des détections encore plus fiables.
Impact et avantages pour le client: Détection et prévention proactives accrues pour tous les types de menaces.
Innovation : détection des lignes de commande malveillantes et des LOLBins
Les adversaires tirent de plus en plus parti binaires vivant hors de la terre (LOLBins) pour détourner des outils natifs et légitimes dans les systèmes cibles afin de mener des attaques. Ces méthodes permettent aux adversaires d’échapper facilement aux outils de sécurité traditionnels qui reposent sur la détection de signatures de logiciels malveillants connus, leur permettant de rester dans les environnements des victimes pendant de longues périodes. Ce nouveau modèle ciblera les LOLBins en examinant les exécutions anormales de la ligne de commande et en analysant les séquences combinées des processus enfants, parents et grands-parents pour détecter plus efficacement les activités suspectes.
Impact et avantages pour le client : temps de détection et de réponse accélérés aux attaques sans fichier en exploitant les lignes de commande malveillantes et les LOLBins.
Innovation : couverture IOA alimentée par l’IA pour les scripts Linux malveillants
Linux est l’un des principaux systèmes d’exploitation pour de nombreuses applications critiques pour l’entreprise. Alors que l’adoption de Linux et les logiciels malveillants ciblant Linux continuent de croître, cet IOA alimenté par l’IA permettra à Falcon de détecter les scripts malveillants dans plusieurs formats. Les scripts Linux, Bash, JavaScript, Python et Perl nous permettent d’offrir une couverture plus complète sur les principaux systèmes d’exploitation. Ce modèle détectera également les scripts Python et batch malveillants dans les environnements Windows.
Impact et avantages pour le client : nouvelle visibilité et couverture proactive des scripts malveillants sur les terminaux Windows et Linux.
Innovation : détection de contenu Windows multiscript malveillant
Les adversaires modifient et obscurcissent fréquemment les scripts pour échapper à la détection. Ce modèle nous permettra de cibler les tactiques, techniques et procédures d’adversaires à haute fréquence ciblant les types de scripts PowerShell, JavaScript, VBScript et VBA pris en charge par Windows ScriptControl, avec une résilience contre les méthodes d’obscurcissement telles que la modification des registres de débogage et d’autres tactiques.
Impact et avantages pour le client : Nouvelle visibilité et couverture proactive pour les types de scripts spécifiques à Windows couramment utilisés.
Innovation : détection des assemblages .NET sans fichier
Avec l’adoption généralisée des frameworks .NET par les développeurs, nous avons lancé notre premier modèle d’apprentissage automatique dédié à la prédiction de l’activité de l’adversaire sur les assemblages .NET en mémoire. Les assemblages .NET en mémoire sont attrayants pour les adversaires car ils sont plus difficiles à détecter avec les solutions antivirus traditionnelles qui surveillent principalement les activités basées sur les fichiers. Ce modèle nous aide à détecter certaines des techniques contradictoires courantes utilisées dans ces attaques, telles que l’utilisation d’injections DLL réfléchissantes pour charger les assemblages .NET directement dans la mémoire, ou le masquage des artefacts laissés par leurs activités à l’aide des attributs de fichier NTFS.
Impact et avantages pour le client : Couverture proactive alimentée par l’IA pour les attaques malveillantes sans fichier utilisant .NET.
Conclusion
L’apprentissage automatique et l’IA sont des outils puissants pour détecter les modèles émergents dans les données et effectuer une analyse comportementale approfondie pour comprendre les intentions et les objectifs de l’adversaire. CrowdStrike est ravi de continuer à exploiter la puissance combinée de l’IA et du cloud pour améliorer la défense, renverser les techniques commerciales adverses et aider nos clients à garder une longueur d’avance sur les adversaires pour arrêter les violations.