IA générative : une arme de cybersécurité, mais pas sans des penseurs (humains) adaptables et créatifs

Sommes-nous encore au stade « ad hoc » de la cybersécurité ?

Karl Greenberg : Jeff Moss (fondateur de Black Hat) et Maria Markstedter (fondatrice et directrice générale d’Azeria Labs) ont parlé lors du discours d’ouverture de la demande croissante de chercheurs en sécurité sachant comment gérer les modèles d’IA génératifs. Comment pensez-vous que l’IA affectera les perspectives d’emploi en cybersécurité, en particulier au niveau 1 (niveau d’entrée) ?

Kayne McGladrey : Cela fait maintenant trois, quatre ou cinq ans que nous en parlons, ce n’est donc pas un problème nouveau. Nous sommes toujours dans ce cycle de battage médiatique autour de l’optimisme quant au potentiel de l’intelligence artificielle.

Karl Greenberg : Y compris comment cela remplacera-t-il les postes de sécurité de premier échelon ou un grand nombre de ces fonctions ?

Kayne McGladrey : Les entreprises qui envisagent d’utiliser l’IA pour réduire le nombre total d’employés affectés à la cybersécurité ? C’est peu probable. Et la raison pour laquelle je dis cela n’a pas à voir avec des défauts dans l’intelligence artificielle, chez les individus ou dans la conception organisationnelle. Cela a à voir avec l’économie.

En fin de compte, les acteurs de la menace, qu’ils soient parrainés, sanctionnés ou exploités par un État-nation, ou un groupe criminel, ont une incitation économique à développer des moyens nouveaux et innovants pour mener des cyberattaques afin de générer des profits. Ce cycle d’innovation, ainsi que la diversité de leur chaîne d’approvisionnement, permettront aux gens de conserver des emplois en cybersécurité, à condition qu’ils soient prêts à s’adapter rapidement à un nouvel engagement.

Karl Greenberg : Parce que l’IA ne peut pas suivre le rythme de l’évolution constante des tactiques et de la technologie ?

Kayne McGladrey : Pensez-y de cette façon : si vous avez une police d’assurance habitation, une police automobile ou une police incendie, les actuaires de ces compagnies (d’assurance) savent combien il existe de types différents d’accidents de voiture ou combien il existe de types différents d’incendies de maison. Nous disposons d’une quantité considérable d’expériences humaines et de données pour montrer tout ce que nous pouvons faire pour provoquer un résultat donné, mais ce n’est pas le cas en matière de cybersécurité.

VOIR : Utilisée correctement, l’IA générative est une aubaine pour la cybersécurité (TechRepublic)

Beaucoup d’entre nous peuvent croire à tort qu’après 25 ou 50 ans de données, nous disposons d’un bon corpus, mais nous en sommes malheureusement à la pointe en ce qui concerne la manière dont une entreprise peut perdre des données ou les faire traiter de manière inappropriée ou le faire voler ou utiliser à mauvais escient contre eux. Je ne peux m’empêcher de penser que nous en sommes encore en quelque sorte à la phase ad hoc en ce moment. Nous devrons continuellement adapter les outils dont nous disposons avec les personnes dont nous disposons afin de faire face aux menaces et aux risques auxquels les entreprises et la société continuent de faire face.

L’IA soutiendra-t-elle ou supplantera-t-elle les analystes SOC d’entrée de gamme ?

Karl Greenberg : Les postes d’analystes de sécurité de niveau 1 seront-ils supplantés par les machines ? Dans quelle mesure les outils d’IA générative rendront-ils plus difficile l’acquisition d’expérience si une machine effectue bon nombre de ces tâches à leur place via une interface en langage naturel ?

Kayne McGladrey : Les machines sont essentielles au formatage correct des données, autant que pour tout autre chose. Je ne pense pas que nous allons nous débarrasser complètement du parcours de carrière de niveau 1 du SOC (centre des opérations de sécurité), mais je pense que les attentes quant à ce qu’ils font dans la vie vont réellement s’améliorer. À l’heure actuelle, l’analyste SOC, dès le premier jour, a une liste de contrôle, c’est très courant. Ils doivent traquer tous les faux drapeaux, tous les drapeaux rouges, dans l’espoir de trouver cette aiguille dans une botte de foin. Et c’est impossible. L’océan déferle sur leur bureau chaque jour et ils se noient chaque jour. Personne ne veut ça.

Karl Greenberg : tous les emails de phishing potentiels, télémétrie

Kayne McGladrey : Exactement, et ils doivent tous les enquêter manuellement. Je pense que la promesse de l’IA est d’être capable de catégoriser, de prendre des mesures télémétriques à partir d’autres signaux et de comprendre ce qui pourrait réellement valoir la peine d’être examiné par un humain.

À l’heure actuelle, la meilleure stratégie que certains acteurs de la menace peuvent adopter s’appelle le tarpitting. Si vous savez que vous allez vous engager de manière adverse avec une organisation, vous vous attaquerez simultanément à plusieurs vecteurs de menace. Ainsi, si l’entreprise ne dispose pas de suffisamment de ressources, elle pensera qu’elle a affaire à une attaque de phishing, et non qu’elle a affaire à une attaque de malware ou à l’exfiltration de données de quelqu’un. Parce qu’il s’agit d’une bâche, l’attaquant aspire toutes les ressources et oblige la victime à s’engager excessivement dans un incident plutôt que de se concentrer sur l’incident réel.

Une aubaine pour les SOC lorsque le goudron frappe le ventilateur

Karl Greenberg : Vous dites que ce type d’attaque est trop important pour qu’une équipe SOC puisse la comprendre ? Les outils d’IA générative dans les SOC peuvent-ils réduire l’efficacité du tarpitting ?

Kayne McGladrey : Du point de vue de l’équipe bleue, c’est la pire journée de tous les temps car ils font face à tous ces incidents potentiels et ils ne peuvent pas voir le récit plus large qui se passe. C’est une stratégie contradictoire très efficace et, non, vous ne pouvez pas embaucher pour vous en sortir à moins d’être un gouvernement, et vous allez quand même avoir du mal. C’est là que nous avons vraiment besoin d’avoir la capacité d’obtenir de l’échelle et de l’efficacité grâce à l’application de l’intelligence artificielle en examinant les données de formation (sur les menaces potentielles) et en les communiquant aux humains afin qu’ils puissent les utiliser avant d’engager des ressources de manière inappropriée.

Sortir du cadre technologique pour trouver des talents en cybersécurité

Karl Greenberg : Passant à la vitesse supérieure, je pose cette question parce que d’autres ont fait valoir ce point : si vous recrutiez aujourd’hui de nouveaux talents pour des postes en cybersécurité, envisageriez-vous une personne ayant, disons, une formation en arts libéraux plutôt qu’en informatique ?

Kayne McGladrey : Bon Dieu, oui. À ce stade, je pense que les entreprises qui ne cherchent pas en dehors des milieux professionnels traditionnels l’informatique ou la cybersécurité ne se rendent pas service. Pourquoi obtenons-nous cet écart de recrutement pouvant atteindre trois millions de personnes ? Parce que la barre est trop haute aux RH. L’un de mes analystes de menaces préférés avec lequel j’ai travaillé au fil des ans était un violoniste de concert. Une manière totalement différente d’aborder les cas de malware.

Karl Greenberg : Êtes-vous en train de dire que les candidats traditionnels en informatique ou en technologie ne sont pas assez créatifs ?

Kayne McGladrey : C’est que beaucoup d’entre nous ont des expériences de vie très similaires. Par conséquent, avec des acteurs de menace intelligents, les États-nations qui agissent à grande échelle reconnaissent effectivement que cette population socio-économique a ces angles morts et qu’elle les exploitera. Trop d’entre nous pensent presque de la même manière, ce qui facilite grandement les relations avec les collègues, mais rend également très facile, en tant qu’acteur menaçant, la manipulation de ces défenseurs.

Avertissement : Barracuda Networks a payé mon billet d’avion et mon hébergement pour Black Hat 2023.

www.actusduweb.com

Suivez Actusduweb sur Google News