Vrai ou Faux Positif ?

Lorsque l’on a pour objectif de détecter les cyber menaces, il est primordiale de pouvoir différencier les alertes liées à des actions malveillantes (vrai positif) des fausses alertes liées à une action légitime (faux positif). Dans cet article nous allons tenter de répertorier les différents indicateurs qui peuvent vous aider à poser un tel verdict. Nous verrons également les possibilités de réponse à ces cybermenaces.

Gestion d’un Faux Positif

Pour déterminer si un fichier ou un programme est un faux positif, nous pouvons utiliser différents indicateurs. Il est à noter qu’un seul de ces indicateurs n’est pas suffisant à catégoriser une alerte en tant que faux positif. Il faut en effet que plusieurs de ces indicateurs soient réunis. En cas de doute sur une alerte par manque de contexte, il est recommandé de recueillir plus d’informations auprès des administrateurs ou des utilisateurs.

Indicateurs

  • Certificat du fichier : le fichier a été signé par un certificat valide d’une société de confiance.
  • Réputation du fichier : la signature (hash) du fichier correspond à un fichier légitime déjà répertorié dans des bases de données connues (ex: virus total)
  • Nom du fichier : la recherche du nom du fichier sur internet coïncide avec un logiciel de confiance installé sur le poste.
  • Emplacement du fichier : le fichier se trouve dans un emplacement habituel et cohérent pour le type de fichier en question.
  • Comportement du programme : aucune action malicieuse n’a été entrepris par le programme (ex : aucune connexion à distance vers une adresse IP douteuse, aucune ligne de commande suspecte lancée, aucune configuration critique modifiée sur le système, aucune tactique de persistance ou de mouvement latéral détectée). Voir la matrice MITRE ATT&CK.
  • Processus parent : le processus parent est un programme légitime, vérifié et signé.

Remédiation

Une fois l’alerte catégorisée comme faux positif, les actions suivantes peuvent être effectuées :

  • Sortir le fichier de quarantaine
  • Ajouter une exclusion/exception sur le fichier pour que l’alerte ne remonte plus sur la console d’administration.

Gestion d’un Vrai Positif

Pour déterminer si un fichier ou un programme est un vrai positif, nous pouvons utiliser différents indicateurs. Certains des indicateurs peuvent à eux seuls être suffisants à catégoriser une alerte en tant que vrai positif. En cas de doute sur une alerte par manque de contexte, il est recommandé de recueillir plus d’informations auprès des administrateurs ou des utilisateurs. Il est à noter qu’il est préférable de classifier une alerte en vrai positif par erreur plutôt qu’en faux positif.

Indicateurs

  • Certificat du fichier: le fichier n’a pas été signé par un certificat d’une société de confiance ou a été signé par un certificat révoqué.
  • Réputation du fichier : la signature (hash) du fichier correspond à un fichier malveillant déjà répertorié dans des bases de données virales (ex: virus total)
  • Nom du fichier : après recherche sur internet, le nom du fichier coïncide avec un logiciel malveillant.
  • Emplacement du fichier : le fichier se trouve dans un emplacement inhabituel, incohérent et/ou critique.
  • Comportement du programme : le programme a effectué des actions malveillantes (ex :  connexion à distance vers des adresses IP douteuses, lancement de lignes de commande suspectes, modification de la configuration du système, utilisation de tactiques de persistance ou de mouvement latéral, etc..). Voir la matrice MITRE ATT&CK.
  • Processus parent : le processus parent est un programme malveillant, suspect ou inconnu.

Remédiation

Une fois l’alerte catégorisée comme vrai positif, les actions suivantes peuvent être effectuées :

  • Tuer le processus pour éviter des dégâts supplémentaires sur le point d’accès et bloquer la propagation de la menace.
  • Placer le fichier en quarantaine et ainsi le rendre inopérant.
  • Mettre le fichier sur liste noire (blacklist) pour que les solutions de sécurité le détectent plus rapidement via sa signature
  • Mettre la machine en quarantaine réseau ou bloquer les IP malveillantes pour que l’attaquant ne puisse plus se connecter à distance sur la machine. Cela évite également que la menace puisse se propager sur le réseau.
  • Restaurer les fichiers à leur état d’origine avant l’exécution du programme (Backup, Snapshot)
  • Supprimer les modifications effectuées sur la configuration du système
  • Lancer des commandes/scripts à distance pour effectuer de la reconnaissance ou du nettoyage.
  • Lancer une analyse du disque à la recherche de traces de fichiers malveillant.
  • Restaurer la machine. Cette solution est à privilégier pour les infections en profondeur qui n’ont pas été détectées et bloquées à temps.