Salt Security : nouvelles fonctions d’investigation pour accélérer la détection des menaces liées aux API
avril 2023 par Marc Jacob
Salt Security a ajouté des fonctionnalités avancées de détection des menaces et de reconnaissance étendue des API à sa plateforme Salt Security API Protection. Salt est le seul sur le marché à proposer des algorithmes brevetés de sécurité des API optimisés par l’IA. Sa plateforme inclut désormais une détection enrichie des intentions des utilisateurs, des fonctions analytiques d’évaluation de la gravité de la menace liée aux API, ainsi qu’une investigation rapide qui accélère la résolution des attaques via les API. En outre, Salt a renforcé son processus de reconnaissance des API en mettant en place une cartographie plus complète des fonctions API, permettant une reconnaissance des API à grande échelle.
Grâce à des connaissances approfondies recueillies depuis plus de cinq ans dans les environnements des clients, la solution Salt peut analyser rapidement la totalité du trafic au fil des jours, des semaines et des mois. Elle permet de détecter et de combattre les attaques via les API, caractérisées par leur approche « Low and Slow » . Salt a apporté les améliorations suivantes à ses algorithmes d’IA brevetés :
● Optimisation des modèles d’IA - Salt a intégré des modèles avancés, notamment des réseaux neuronaux, qui accélèrent le traitement de volumes plus importants de données d’API dans son architecture brevetée ACE (API Context Engine). Salt a également appliqué les connaissances issues de plusieurs milliers d’environnements clients aux ensembles de données qu’il utilise pour les parties d’apprentissage supervisé des algorithmes. Ces améliorations de l’architecture ACE servent de tremplin à plusieurs nouvelles fonctionnalités de la plateforme relatives à la détection et à la reconnaissance d’attaques via les API.
● Amélioration de la détection des intentions des utilisateurs – Grâce aux améliorations apportées à son modèle d’IA, Salt détecte de façon plus rapide et précise les intentions malveillantes de l’utilisateur d’une API. La plupart des anomalies sont bénignes : les plateformes qui se contentent de signaler une détection des anomalies submergent d’informations les équipes SOC (centre des opérations de sécurité) et sont donc moins performantes. Ces informations enrichies, qui établissent une distinction entre les modifications des API et les attaques via les API, permettent à Salt de réduire son taux de faux positifs tout en garantissant une identification précise des vrais positifs.
● Nouvelle fonction d’analyse de la gravité des menaces – Salt met à profit la puissance de ses ensembles de données à l’échelle du cloud pour analyser chaque jour plus d’un million d’utilisateurs aux comportements anormaux. Il examine leurs comportements sur des périodes prolongées afin d’y déceler des indices d’intentions malveillantes. Étant donné que seulement 0,02 % du trafic est malveillant, Salt a réussi à extraire ces signaux des bruits parasites et a renforcé son analyse des attaquants pour mettre en évidence différents niveaux de gravité des attaques via les API. Cette nouvelle fonctionnalité permet aux équipes de sécurité de différencier les attaques très graves de celles plus négligeables et de consacrer plus de temps et d’attention aux menaces les plus importantes. Il est crucial d’effectuer un suivi de l’activité des utilisateurs sur des périodes prolongées pour mettre en évidence les attaques API actuelles.
● Un nouveau mode d’investigation rapide– Salt a pris depuis longtemps l’habitude de corréler les attaques au sein d’une chronologie consolidée des attaquants afin d’aider les équipes SOC à rationaliser la résolution des incidents. Le nouveau mode d’investigation rapide identifie désormais les événements d’attaque les plus malveillants, en les mettant en évidence tout au début de la chronologie des attaquants. Le moteur ACE analyse le degré de fiabilité des résultats de la solution de machine learning de Salt pour identifier les événements malveillants les plus critiques. Le trafic des API et les attaques via les API sont en hausse constante, mais il n’est pas possible d’accroître en proportion les effectifs SOC. Cette nouvelle fonctionnalité aide les équipes à faire face à cette menace grandissante. Les équipes SOC peuvent mettre à profit les renseignements fournis par la plateforme Salt pour mieux dimensionner leurs opérations. Elles parviennent ainsi à réduire considérablement le temps moyen de résolution (MTTR) des attaques via les API, même si elles ne possèdent pas une connaissance approfondie des API elles-mêmes.
● Reconnaissance avancée des API à grande échelle - Les améliorations apportées par Salt à ses modèles d’IA et de machine learning lui ont également permis d’optimiser son processus de reconnaissance des API. La nouvelle version de la plateforme Salt fournit une cartographie plus précise des points de terminaison des API. Ce regroupement intelligent permet aux grandes organisations d’inventorier et de comprendre plus facilement leurs API à grande échelle. Les systèmes moins intelligents créent un catalogue qui est exploitable dans des opérations réelles, en répertoriant une itération d’une API par composant dynamique, par exemple un ID utilisateur. Les entreprises ont besoin d’une coalescence et d’une déduplication intelligentes pour réaliser un catalogage efficace à grande échelle.
« En sa qualité de pionnier de la sécurité des API, Salt s’est rendu compte très tôt que les attaques via les API différaient des autres types d’attaques », explique Roey Eliyahu, PDG de Salt Security. Pour détecter une attaque BOLA (violation de l’autorisation au niveau de l’objet), il est nécessaire de surveiller le comportement de l’API pendant des jours, des semaines, voire des mois. Une fenêtre d’analyse restreinte ne vous permet pas de détecter la plupart des attaques via les API et limite également votre capacité à déterminer l’intention de l’utilisateur. Grâce à notre architecture Big data à l’échelle du cloud, optimisée par l’IA, et à nos fenêtres d’analyse étendues, nous disposons de renseignements exceptionnels sur des milliards d’appels d’API sur des périodes prolongées, ce qui nous permet de capter l’activité de reconnaissance des attaquants. En intégrant ces enseignements aux parties supervisées de nos modèles de machine learning, et en proposant ces nouvelles capacités pour combattre et reconnaître les menaces, nous apportons une valeur accrue aux organisations. Nous leur donnons les moyens de comprendre leur écosystème d’API et d’identifier et de stopper de façon rapide et précise les attaques via les API ».
Selon le rapport intitulé Q1 2023 State of API Security Report (Rapport sur l’état de la sécurité des API – 1er trimestre 2023), environ 80 % des attaques via les API proviennent d’utilisateurs apparemment légitimes qui se sont procurés une authentification appropriée dans une intention malveillante. Pour identifier et contrer ces types d’attaques, les organisations doivent surveiller les comportements de leurs API en production sur le long terme. La vaste base de clients de Salt, le temps d’apprentissage des algorithmes d’IA de Salt et ses fenêtres d’analyse étendues confèrent à la plateforme Salt des capacités uniques : reconnaissance et inventaire des API, détection des attaques et solutions de remédiation recueillies lors de l’exécution.