Comment la cybersécurité hybride est renforcée par l’IA, l’apprentissage automatique et l’intelligence humaine

L’intelligence et l’intuition humaines sont essentielles pour former des modèles d’intelligence artificielle (IA) et d’apprentissage automatique (ML) afin de fournir aux entreprises une cybersécurité hybride à grande échelle. La combinaison de l’intelligence et de l’intuition humaines avec des modèles d’IA et de ML aide à saisir les nuances des schémas d’attaque qui échappent à la seule analyse numérique.

Des chasseurs de menaces expérimentés, des analystes de la sécurité et des scientifiques des données contribuent à garantir que les données utilisées pour former les modèles d’IA et de ML permettent à un modèle d’identifier avec précision les menaces et de réduire les faux positifs. La combinaison de l’expertise humaine et des modèles d’IA et de ML avec un flux en temps réel de données de télémétrie provenant d’entreprises, de nombreux systèmes et applications définit l’avenir de la cybersécurité hybride.

Sur la base des comportements et des informations, l’IA et le ML nous permettent de prédire [that] quelque chose se produira avant qu’il ne se produise, déclare Monique Shivanandan, CISO chez HSBC, une banque mondiale. Cela nous permet d’éliminer le bruit et de nous concentrer sur les vrais problèmes qui se produisent, et de corréler les données à un rythme et à une vitesse inouïs il y a encore quelques années.

La cybersécurité hybride devient un service dont les entreprises ont besoin

L’intégration de l’IA, du ML et de l’intelligence humaine en tant que service est l’une des catégories à la croissance la plus rapide de la cybersécurité d’entreprise. La détection et la réponse gérées (MDR) est la catégorie de service qui tire le plus parti des entreprises qui ont besoin d’une cybersécurité hybride dans le cadre de leurs stratégies plus larges de gestion des risques. Gartner a enregistré une augmentation de 35 % des demandes de renseignements connexes de ses clients. De plus, il prévoit que le marché du MDR atteindra 2,2 milliards de dollars de revenus en 2025, contre 1 milliard de dollars en 2021, atteignant un taux de croissance annuel composé (TCAC) de 20,2 %.

Gartner prévoit également que d’ici 2025, 50 % des organisations utiliseront des services MDR qui s’appuient sur l’IA et le ML pour les fonctions de surveillance, de détection et de réponse aux menaces. Ces systèmes MDR s’appuieront de plus en plus sur des capacités de confinement et d’atténuation des menaces basées sur le ML, renforcées par les compétences de chasseurs de menaces, d’analystes et de scientifiques des données expérimentés, pour identifier les menaces et arrêter les violations pour les clients.

Efficace contre les attaques d’IA et de ML

La cybersécurité hybride continue de s’intensifier en priorité dans les organisations qui n’ont pas suffisamment de spécialistes de la modélisation de l’IA et du ML, des data scientists et des analystes. Des petites entreprises à croissance rapide aux moyennes et grandes entreprises, les RSSI interrogés par VentureBeat ont souligné la nécessité de se défendre contre les gangs cybercriminels mortels et rapides qui acquièrent des compétences en IA et en ML plus rapidement qu’eux. Nous défendons une approche hybride de l’IA pour gagner [the] confiance des utilisateurs et des dirigeants, car il est très important d’avoir des réponses explicables, a déclaré AJ Abdallat, PDG de Beyond Limits.

Les gangs de cybercriminels dotés d’une expertise en IA et en ML ont montré qu’ils pouvaient passer du point d’entrée initial à un système interne dans l’heure et 24 minutes suivant le moment initial de la compromission. Le rapport CrowdStrike 2022 sur les menaces mondiales a noté plus de 180 adversaires suivis et une augmentation de 45 % des intrusions interactives. Dans cet environnement, garder une longueur d’avance sur les menaces n’est pas un problème à l’échelle humaine. Cela exige la puissante combinaison de l’apprentissage automatique et de l’expertise humaine.

Les plates-formes de protection des terminaux (EPP) basées sur l’intelligence artificielle et l’apprentissage automatique, la détection et la réponse aux terminaux (EDR) et la détection et la réponse étendues (XDR) s’avèrent efficaces pour identifier rapidement et se défendre contre les nouveaux modèles d’attaque. Cependant, ils ont encore besoin de temps pour traiter et se renseigner sur les nouvelles menaces. Les plates-formes de cybersécurité basées sur l’IA et le ML utilisent des réseaux de neurones convolutifs et un apprentissage en profondeur pour aider à réduire cette latence, mais les cyberattaquants développent toujours de nouvelles techniques plus rapidement que les systèmes d’IA et de ML ne peuvent s’adapter.

Cela signifie que même les systèmes de surveillance et de réponse aux menaces les plus avancés sur lesquels les entreprises et les fournisseurs de MDR s’appuient ont du mal à suivre les tactiques en constante évolution des gangs cybercriminels.

Pour que les MDR et les CISO gèrent bien la cybersécurité hybride, trouver le bon talent est la clé du succès. Il ne s’agit pas seulement de construire des modèles, mais [about] les maintenir, les développer, les faire évoluer et les comprendre pour éviter les biais ou autres risques, déclare Shivanandan de HSBC.

Les toutes premières évaluations MITRE ATT&CK à livre fermé pour les fournisseurs de services de sécurité valident l’efficacité des MDR à fournir une protection de cybersécurité hybride à l’aide de modèles AI et Ml. L’objectif de l’évaluation ATT&CK est de tester la capacité, la précision et la volonté d’un fournisseur d’identifier et d’arrêter une tentative de violation sans que le fournisseur sache quand et comment cela se produira. Les plates-formes MDR de test de stress sans avertissement aux participants peuvent fournir aux RSSI des conseils concrets sur la façon dont les systèmes MDR fonctionnent dans des situations d’attaque réelles.

Darktrace, CrowdStrike, McAfee et Broadcom/Symantec sont parmi les principaux fournisseurs de MDR qui proposent des modélisations d’IA et de ML et disposent d’une large base d’experts en chasse aux menaces, analystes et data scientists. CrowdStrike combine son service Falcon OverWatch avec une série de services de modélisation et de reporting basés sur l’IA et le ML, y compris son ML basé sur des agents, son ML natif dans le cloud et ses indicateurs d’attaque (IOA) alimentés par l’IA.

L’intelligence humaine améliore les performances des modèles d’IA et de ML

La combinaison de l’intelligence humaine avec des algorithmes d’apprentissage automatique supervisés, non supervisés et semi-supervisés améliore la précision des modèles, réduit la probabilité de faux positifs et comble les lacunes cachées dans la quantité massive de données avec lesquelles les modèles sont entraînés. Nous ne laissons pas les algorithmes d’apprentissage automatique fonctionner sans les humains, déclare Shivanandan. Nous avons toujours besoin de cette présence humaine pour évaluer et ajuster notre modèle en fonction des événements réels.

Les fournisseurs de MDR expérimentés, les chasseurs de menaces, les analystes et les scientifiques des données fournissent régulièrement des données étiquetées pour la formation d’algorithmes d’IA et de ML supervisés. Cela garantit qu’un modèle peut classer avec précision différents types de trafic réseau et identifier les activités malveillantes. Ces chasseurs de menaces fournissent également des conseils et une supervision pour s’assurer que le modèle apprend les modèles corrects et distingue avec précision les différents types de menaces.

L’apprentissage supervisé est un moyen puissant de créer des systèmes de classification très précis qui ont des taux de vrais positifs élevés (détectant les menaces de manière fiable) et de faibles taux de faux positifs (causant rarement des alarmes sur un comportement bénin), a écrit CrowdStrikes Sven Krasser dans un récent article de blog.

Les algorithmes non supervisés sont également affinés avec l’intelligence humaine par des professionnels de la détection et de la réponse gérées, qui examinent et étiquettent régulièrement les modèles et les relations découverts par chaque algorithme. Cela permet d’améliorer la précision de chaque modèle prédictif et garantit qu’il peut identifier un comportement inhabituel ou anormal pouvant indiquer une menace.

De même, des algorithmes semi-supervisés sont entraînés à l’aide d’une combinaison de données étiquetées fournies par des chasseurs de menaces et de données non étiquetées. Cela permet aux analystes et aux scientifiques des données de fournir des conseils et de superviser le modèle, tout en bénéficiant de l’avantage d’utiliser des ensembles de données plus volumineux.

Réduire le risque de perturbation des activités

Confrontés au risque d’une cyberattaque dévastatrice affectant leurs opérations commerciales en cours, les conseils d’administration, les PDG et les RSSI parlent plus souvent de la gestion des risques et de la façon dont la cybersécurité hybride est un investissement commercial. Les CISO disent à VentureBeat que la cybersécurité hybride fait désormais partie des initiatives 2023 au niveau du conseil d’administration pour la cybersécurité afin de protéger et de générer plus de revenus.

La cybersécurité hybride est là pour rester. Il aide les entreprises à résoudre leurs défis fondamentaux en se protégeant contre les cyberattaques de plus en plus sophistiquées basées sur l’IA et le ML. Les RSSI qui n’ont pas le budget ou le personnel pour accélérer la modélisation de l’IA et du ML s’appuient sur des fournisseurs de MDR qui utilisent des plates-formes EPP, EDR et XDR basées sur l’IA et le ML dans le cadre de leurs services.

Les MDR permettent aux RSSI de mettre en œuvre une cybersécurité hybride à grande échelle, ce qui soulage le défi de trouver des constructeurs de modèles AL et ML expérimentés ayant de l’expérience sur leurs plates-formes principales. Les RSSI considèrent la cybersécurité hybride comme essentielle à la croissance future de leur organisation.