Comment l’IA générative va refaire la cybersécurité

En mars, Microsoft a annoncé son service Security Copilot. Le géant du logiciel a construit la technologie sur une IA générative de pointe, comme les grands modèles de langage (LLM) qui alimentent des applications comme ChatGPT.

Dans un article de blog, Microsoft s’est vanté que le Security Copilot était le premier produit de sécurité permettant aux défenseurs de se déplacer à la vitesse et à l’échelle de l’IA. Il a également été formé sur les renseignements sur les menaces mondiales de l’entreprise, qui comprenaient plus de 65 000 milliards de signaux quotidiens.

Bien sûr, Microsoft n’est pas le seul à tirer parti de l’IA générative pour la sécurité. En avril, SentinelOne a annoncé sa propre mise en œuvre pour permettre une réponse autonome en temps réel aux attaques dans l’ensemble de l’entreprise.

Ou pensez à Palo Alto Networks. Le PDG Nikesh Arora a déclaré lors de l’appel aux résultats de la société que Palo Alto développait son propre LLM, qui sera lancé cette année. Il a noté que la technologie améliorera la détection et la prévention, permettra une meilleure facilité d’utilisation pour les clients et contribuera à fournir plus d’efficacité.

Bien sûr, Google a son propre système de sécurité LLM, appelé Sec-PaLM. Il s’appuie sur son LLM PaLM 2 formé aux cas d’utilisation de la sécurité.

Ce n’est probablement qu’un début pour les applications de sécurité basées sur LLM. Il semble qu’il y aura plus d’annonces et très bientôt à cela.

Lisez également : Les problèmes de sécurité et de confidentialité de ChatGPT persistent dans GPT-4

Comment fonctionne la technologie LLM dans la sécurité

La technologie de base pour les LLM est relativement nouvelle. La percée majeure a eu lieu en 2017 avec la publication de l’article Attention Is All You Need, dans lequel les chercheurs de Google ont présenté le modèle du transformateur. Contrairement aux systèmes traditionnels d’apprentissage en profondeur qui analysent généralement des mots ou des jetons en petits groupes, cette technologie pourrait trouver les relations entre d’énormes ensembles de données non structurées comme Wikipedia ou Reddit. Cela impliquait d’attribuer des probabilités aux jetons sur des milliers de dimensions. Avec cette approche, le contenu généré peut sembler humain et intelligent.

Cela pourrait certainement être un énorme avantage pour les produits de sécurité. Avouons-le, ils peuvent être compliqués à utiliser et nécessitent une formation et un réglage approfondis. Mais avec un LLM, un utilisateur peut simplement créer une invite en langage naturel.

Cela peut aider à faire face à la pénurie mondiale de professionnels de la sécurité. L’année dernière, il y avait environ 3,4 millions d’offres d’emploi.

Les pratiques de cybersécurité doivent aller au-delà de l’intervention humaine, a déclaré Chris Pickard, vice-président exécutif de la société mondiale de services technologiques CAI. En travaillant ensemble, les équipes d’IA et de cybersécurité peuvent accélérer les processus, mieux analyser les données, atténuer les violations et renforcer la posture de l’organisation.

Un autre avantage d’un LLM est qu’il peut analyser et traiter d’énormes quantités d’informations. Cela peut signifier des temps de réponse beaucoup plus rapides et une concentration sur les menaces importantes.

À l’aide de la plate-forme SentinelOne, les analystes peuvent poser des questions en langage naturel, telles que trouver des tentatives de phishing potentielles réussies impliquant PowerShell, ou trouver toutes les tentatives d’exploitation Log4j potentielles qui utilisent jndi: ldap sur toutes les sources de données, et obtenir un résumé des résultats dans un jargon simple. -des termes gratuits, ainsi que des actions recommandées qu’ils peuvent lancer en un seul clic – comme désactiver tous les points de terminaison, a déclaré Ric Smith, qui est le directeur des produits et de la technologie chez SentinelOne.

Ryan Kovar, l’éminent stratège en sécurité et leader de Splunks SURGe, est d’accord. Voici quelques-uns des cas d’utilisation qu’il voit avec les LLM :

• Vous pouvez créer un LLM de versions logicielles, d’actifs et de CVE, en posant des questions telles que Ai-je des logiciels vulnérables.
• Les équipes de défense du réseau peuvent utiliser des LLM de données sur les menaces open source, en posant des questions itératives sur les acteurs de la menace, comme Quels sont les dix principaux TTP MITRE utilisés par APT29 ?
• Les équipes peuvent ingérer des données filaires, poser des questions interactives telles que Quelles alertes anormales existent dans mes journaux Suricata. Le LLM ou l’IA générative peut être suffisamment intelligent pour comprendre que les données d’alerte Suricata sont multimodales plutôt que modales, c’est-à-dire une distribution gaussienne et doivent donc être analysées avec IQR (intervalle interquartile) par rapport à l’écart type.

Lisez également : Les analystes de la cybersécurité utilisent ChatGPT pour l’analyse de code malveillant et la prévision des menaces

Les limites des LLM

Les LLM ne sont pas sans problèmes. Ils sont sensibles aux hallucinations, c’est-à-dire lorsque les modèles génèrent un contenu faux ou trompeur même s’ils semblent toujours convaincants.

C’est pourquoi il est essentiel d’avoir un système basé sur des données pertinentes. Ensuite, une formation sera nécessaire pour aider les employés à créer des invites efficaces. Mais il doit également y avoir une validation humaine et des examens.

Outre les hallucinations, il y a les problèmes persistants avec les garde-corps de sécurité pour les LLM eux-mêmes.

Il existe des problèmes potentiels de confidentialité des données résultant de la collecte et du stockage de données sensibles par ces modèles, a déclaré Peter Burke, directeur des produits chez SonicWall. Ces préoccupations ont poussé des entreprises comme JPMorgan, Citi, Wells Fargo et Samsung à interdire ou à limiter l’utilisation des LLM.

Il existe également des défis techniques majeurs limitant l’utilisation du LLM.

Un autre facteur à prendre en compte est l’exigence d’une connectivité réseau robuste, qui pourrait poser un défi pour les appareils distants ou mobiles, a déclaré Burke. En outre, il peut y avoir des problèmes de compatibilité avec les systèmes hérités qui doivent être résolus. De plus, ces technologies peuvent nécessiter une maintenance continue pour garantir des performances optimales et une protection contre les menaces émergentes.

Autre chose : le battage médiatique de ChatGPT et d’autres technologies d’IA génératives à la pointe de la technologie peut conduire à une dépendance excessive à l’égard de ces systèmes. Lorsqu’on lui présente un outil qui a une large gamme d’applications générales, il est tentant de le laisser tout faire, a déclaré Olivia Lucca Fraser, ingénieure de recherche chez Tenable. On dit que lorsque vous avez un marteau, tout commence à ressembler à un clou. Lorsque vous avez un grand modèle de langage, le danger est que tout commence à ressembler à une invite.

Lisez aussi : L’IA dans la cybersécurité : comment ça marche

L’avenir de la sécurité de l’IA

Les systèmes basés sur LLM ne sont certainement pas une solution miracle. Mais aucune technologie ne l’est, car il y a toujours des compromis. Pourtant, les LLM ont un potentiel important pour faire une différence majeure dans l’industrie de la cybersécurité. Plus important encore, la technologie s’améliore à un rythme accéléré, car l’IA générative est devenue une priorité absolue.

L’IA a le pouvoir de prendre n’importe quel analyste débutant et d’en faire un super analyste, a déclaré Smith. C’est une toute nouvelle façon de réinventer la cybersécurité. Ce qu’il peut faire est stupéfiant, et nous pensons que c’est l’avenir de la cybersécurité.

Découvrez les meilleures startups de cybersécurité