RUBRIQUES DE SÉCURITÉ

Machine Learning :
de nouvelles possibilités pour la détection avancée des menaces

Symantec utilise l'Advanced Machine Learning – via des terminaux et le Cloud – pour analyser les attributs et les comportements des fichiers, ainsi que les relations entre ces fichiers.

Apprentissage automatique

Le Machine Learning est l'une des tendances technologiques les plus en vue de l'année, stimulant l'innovation et faisant des vagues tant dans le paysage technologique de l'entreprise que dans celui du consommateur. Dans le secteur de la cybersécurité, de nombreuses entreprises affirment faire du Machine Learning, bien qu'on ne sache pas clairement ce que cela signifie, ni comment cela fonctionne, ni même en quoi cela est important.

Dans cette section, nous allons présenter de façon plus détaillée les investissements de Symantec dans le Machine Learning, et la façon dont ils ont fait naître des innovations importantes intégrées à Symantec Endpoint Protection 14.

 

Annoncé la semaine passée, le nouveau logiciel utilise des technologies de Machine Learning de pointe pour bloquer les attaques plus efficacement que les concurrents et optimisent la protection contre les attaquants. Pour ce faire, nous combinons une approche multicouche à un énorme volume de données, d'algorithmes et de techniques avancés, et un système d'automatisation pour garder une longueur d'avance sur les attaquants.

 

Website Security

Symantec Endpoint Protection 14

Centre Symantec pour l'Advanced Machine Learning

Les travaux de Machine Learning étaient menés par le Centre Symantec pour l'Advanced Machine Learning, créé en 2014. L'équipe compte maintenant plus de 20 experts qui effectuent des recherches R&D à fort impact sur les architectures, les algorithmes et les applications de Machine Learning, pour répondre aux défis de sécurité et de gestion d'informations. Par ailleurs, des études sont menées sur le Deep Learning, la programmation probabiliste, l'apprentissage par renforcement et les approches bayésiennes non paramétriques. 

Pour Symantec Endpoint Protection 14, le groupe a travaillé avec des experts de sécurité de Symantec pour mettre au point un ensemble de technologies de Machine Learning qui fonctionnent ensemble dans le but d'étudier trois dimensions majeures des attaques. 

La spécificité de ces trois dimensions tient du fait qu'elles sont complémentaires : chacune peut arrêter efficacement les menaces sachant que les deux autres dimensions viendront « confirmer » ses conclusions.

 

Les trois dimensions majeures des attaques

Ensemble, les trois dimensions fournissent une évaluation multicouche des menaces en analysant le type de fichier (statique), comment il se comporte (dynamique) et, via le cloud, quelles relations il a avec d'autres fichiers, machines et URL (provenance) :

  • Attributs statiques :  nous commençons par inspecter des dizaines de caractéristiques statiques d'un fichier, comme son nom, les appels des fonctions, l'entropie, etc.
  • Comportements dynamiques :  nous allons ensuite plus loin pour comprendre les comportements dynamiques d'un programme. Nous analysons des combinaisons de milliers de comportements, par exemple, si le programme se connecte au réseau, s'il initie un autre processus, s'il accède aux clés du registre, etc.
  • Relations et réputation :  pour finir, nous examinons les relations du fichier avec d'autres fichiers, d'autres machines et d'autres URL pour générer la « réputation » du fichier.  Inspirée par la « sagesse des foules », cette analyse de réputation s'exécute sur une solution de Big Data à l'échelle dans notre cloud et nous permet de comprendre si un programme affiché seulement sur une ou quelques machines dans le monde est susceptible d'être malveillant.

Big Data + modèles prédictifs = une protection plus judicieuse

Le Big Data est au centre de l'approche de Symantec en matière de Machine Learning. Grâce à notre présence étendue dans le domaine de la sécurité des terminaux, des réseaux et du cloud, nous disposons d'informations sur les menaces et les attaques provenant de plus de 175 millions de terminaux et de 57 millions de sondes d'attaques, surveillées en temps réel tous les jours, minute par minute. Une telle organisation implique des milliards de fichiers et quasiment quatre trillions de relations. Cela représente une base de données d'une richesse inestimable dont nous nous servons pour entraîner nos systèmes de classifications à distinguer le « bon » du « mauvais ».

C'est important parce que les données constituent le  carburant du Machine Learning. Elles doivent donc être disponibles en abondance. Plus vous avez de données, plus vous pourrez mettre au point des technologies de détection précises et sophistiquées. Vous avez également besoin de données enrichies. Plus les données entrées sont diverses et enrichies, plus vous avez de chances de découvrir des relations importantes, jusque là invisibles. En réalité, la performance des systèmes de Machine Learning se mesure à l'aune de la qualité, de la diversité et de la portée des jeux de données utilisés pour les entraîner, et notre système s'appuie sur le réseau de renseignements civil sur les menaces le plus étendu au monde.

Si les données constituent le carburant, les algorithmes représentent le  moteur du Machine Learning. Les algorithmes utilisent les données pour produire des modèles qui sont utilisés pour nous fournir des prévisions, par exemple pour déterminer si un fichier est malveillant. Les sociétés communiquent énormément autour des algorithmes et des modèles parce que ceux-ci sont tendance, et de nouveaux produits apparaissent tous les jours. Le secret pour les spécialistes du Machine Learning, c'est de pouvoir associer le bon algorithme à la tâche et aux données qui vous sont assignées.

Les principales techniques

L'une des principales techniques que nous utilisons est l'« ensembling ». Ce procédé consiste à « utiliser plusieurs modèles et à les combiner de façon appropriée ». Il est essentiel pour obtenir les meilleurs modèles possibles et a été notamment utilisé dans le fameux  Netflix Prize. Nous ajoutons un peu de « magie » avec quelques techniques d'ensembling exclusives qui permettent à nos systèmes d'apprendre la meilleure façon de combiner les prédictions issues de nombreux modèles différents, mêmes si nous ignorons quelles sont les prédictions correctes pendant l'apprentissage.

Une autre technique clé est l'« adaptation ». Nos modèles de sécurité doivent continuellement être ajustés pour effectuer un suivi des attaquants, de l'évolution du monde des logiciels et des réseaux, ainsi que de l'évolution du comportement des utilisateurs. Ces éléments constituent des obstacles importants pour le Machine Learning traditionnel. Pour Symantec Endpoint Protection, nous utilisons un « méta-algorithme » appelé boosting qui s'attache à améliorer un modèle de façon itérative, en se concentrant chaque fois sur les erreurs que le modèle a commises antérieurement et en les corrigeant sans « désapprendre » les éléments qui étaient corrects.

Dernier point, mais pas le moindre, l'automatisation est essentielle pour  faire évoluer le Machine Learning. Nous avons intégré l'automatisation tout au long du processus de Machine Learning : de l'ingestion au nettoyage et au traitement des données de télémétrie en passant par l'optimisation et l'exploration des différents modèles. Sans automatisation (et bien sûr, sans une puissance de calcul suffisante), il serait tout simplement impossible d'effectuer tous les calculs et de produire les meilleurs modèles. 

Quel est le résultat final ?

En termes simples, Symantec possède le système de Machine Learning le plus avancé en matière de sécurité des terminaux. Une société de tests indépendante de renom (AV-Test) a récemment testé notre solution Symantec Endpoint Protection 14, qu'elle a classée première du point de vue de la détection et de la performance avec des faux positifs minimaux. Même dans les tests « d'analyse » artificiels, le nouveau logiciel a détecté quasiment 100 % des menaces à un taux de faux positifs quasiment nul (fait important, la performance des faux positifs dans Symantec Endpoint Protection 14 peut être ajustée selon la stratégie client).

Nous sommes impatients de découvrir les nouveaux horizons qu'ouvrent le Machine Learning et l'intelligence artificielle en matière de détection des menaces. Bien utilisés, et combinés à l'analyse d'énormes volumes de données enrichies et diversifiées provenant des terminaux et du cloud, ces technologies changent substantiellement la donne face aux attaquants.

Pour plus d’informations, visualisez le webinaire à la demande sur  les fonctionnalités et les avantages du Machine Learning dans Symantec Endpoint Protection 14. En savoir plus sur le nouveau produit  ici.

Testez la sécurité de votre site web maintenant

Symantec CryptoReport

Vérifiez votre installation de certificat SSL/TLS

TESTER MAINTENANT

Évaluation des vulnérabilités

Une vulnérabilité est un point d'accès potentiel par lequel la fonctionnalité ou les données d'un site web peuvent être endommagées, téléchargées ou manipulées. Un site web classique (même le plus simple des blogs) peut avoir des milliers de vulnérabilités potentielles.

Lire la suite

De l'importance du pare-feu

L'importance du pare-feu pour la protection contre les menaces

Alors que le logiciel antivirus protège le système de fichiers contre des programmes indésirables, le pare-feu, en première ligne de défense, empêche les pirates ou les menaces externes d'accéder à votre système.

Lire la suite

Des comptes Instagram piratés

Des comptes Instagram piratés, modifiés pour promouvoir les spams de rencontres pour adultes

Les fraudeurs piratent les comptes Instagram et modifient les profils avec des photos à caractère pornographique pour leurrer les  utilisateurs et les orienter vers des sites de rencontre et de pornographie.

Lire la suite

CAS D'UTILISATION

Les solutions Symantec Website Security dans le monde réel

Rejoindre la communauté

Rejoignez des discussions de sécurité sur Symantec Connect

SYMANTEC CONNECT

Suivez Threat Intelligence sur Twitter @Threatintel

SYMANTEC ON TWITTER

Regardez des vidéos sur la chaîne YouTube Symantec Website Security

SYMANTEC ON YOUTUBE

Nous avons mis à jour notre politique de confidentialité qui peut être trouvée ici.