20210304-datadrink-ami-ia-ANSSI

Transcript

1. WAAD: Windows Authentication Anomaly Detection Détection d’anomalie dans les événements

   d’authentification Windows

2. Contexte Pour qui ? L'Agence nationale de la sécurité des

   systèmes d'information (ANSSI) est un service à compétence national, rattaché au secrétaire général de la défense et de la sécurité nationale(SGDSN). Pourquoi ? La Sous Direction Opération (SDO) est chargé de mener des investigations en cas de suspicions de cyberattaque probable ou avérée auprès de ces bénéficiaires. Le processus d’analyseest chronophage et semi-automatique. Avec quoi ? Certains logs d’authentification Windows

3. Les objectifs du projet Développer un outil d’aide à la

   qualification et de détection d’anomalie d’authentification dans les événements d’authentification Windows Méthode de détection de fait notable Mettre en place des méthodes de détection basée sur les algorithmes statistiques et de ML en se basant sur les heuristiques exprimées par les analystes. Librairie de fonction Développer une libraire contenant des fonctions modulaires et certains génériques. Industrialisation Avoir un code propre, modulaire, scalable et adaptable. Interface de visualisation et de manipulation de la libraire Utilisation des notebooks Jupyter pour faciliter le travail de la manipulation et de la visualisation

4. Les objectifs du projet Un événement Windows 4624 Analyse et

   représentation graphique

5. Les résultats Bibliothèque de méthodes de détection de faits notables

   - Pas un produit, mais une brique à intégrer - Code, notebooks, documentation Chaque fait notable permet d'intégrer des connaissances métier Combinaison de ces faits notables et présentation à l'expert Intégration dans le processus d'investigation - Les faits notables ne sont pas des détections, mais des éléments pour analyse - L'humain guide l'investigation

6. Les enseignements Confirmation des difficultés spécifiques à la cybersécurité -

   Pas de données publiques, données sensibles - Adaptation de domaine complexe - Besoin fort d'interprétabilité, coût élevé de levée de doute Contrainte forte: intégrer l'expert (analyste) dans le process Importance de la définition de la notion de «fait notable» Besoin d'accompagner le prestataire en continu

7. Les perspectives Intégration dans l'architecture métier Prise en charge en

   interne Ajout de nouvelles heuristiques et connaissances métier Réflexions sur la combinaison de multiples faits notables Réduction du nombre d'informations demandant l'avis de l'expert Automatisation progressive des tâches

8. Conclusion WAAD est un projet qui va permettre aux analystes

   d’explorer certaines données d’authentification Windows en utilisant des algorithmes non conventionnels en investigation numérique. L’analyse des données à l’aide d’une approche statistique et en utilisant des algorithmes de Machine Learning, a permis d’avoir des résultats difficilement atteignablesà l’aidedes méthodes traditionnelles. Le travail avec SIA Partners était enrichissant et très professionnel. Durant le projet, la connaissance de plusieurs métiers était indispensable. Les différents acteurs sont montés en compétence pour garantir l’obtention d’un produit qui répond à un besoin très spécifique du métier des analystes en investigationnumérique.