L’avenir de l’IA dans la cybersécurité défensive
L’IA est un mot à la mode qui est souvent utilisé dans le domaine de la cybersécurité, semble-t-il, pour obscurcir et impressionner, plutôt que pour clarifier le fonctionnement des produits et services. C’est dommage, car au-delà du battage médiatique, le rôle de l’intelligence artificielle dans la cybersécurité devient de plus en plus indispensable. Bien que l’IA ne résolve pas tous les problèmes, elle fournit une boîte à outils croissante pour accélérer les workflows de sécurité et mieux détecter les menaces. En fait, l’IA révolutionne déjà la cybersécurité de plusieurs manières.
Correspondance de modèles et détection des menaces
Jusqu’à la dernière demi-décennie environ, la plupart des détections de cybermenaces étaient effectuées à l’aide de petits programmes manuscrits de correspondance de modèles (appelés signatures, règles ou indicateurs de compromission). L’adoption généralisée de l’IA a changé la donne. Désormais, les fournisseurs de sécurité sont sur une longue marche pour augmenter la technologie de détection basée sur les signatures avec l’IA dans tous les contextes pour effectuer des détections : détection des e-mails de phishing, des applications mobiles malveillantes, des exécutions de commandes malveillantes, etc.
L’IA ne remplacera pas les signatures, et ne devrait pas non plus, car ces technologies se complètent. Alors que les signatures sont efficaces pour détecter les artefacts de menace connus, les algorithmes d’IA entraînés sur de vastes bases de données de menaces que les entreprises de cybersécurité ont accumulées au fil des ans sont plus efficaces pour détecter les artefacts inédits. Alors que les signatures peuvent être écrites et déployées rapidement, les technologies d’IA prennent beaucoup plus de temps à former et à déployer. Et tandis que les auteurs de signatures peuvent contrôler précisément les menaces que leurs signatures détecteront ou non, l’IA est fondamentalement probabiliste et plus difficile à contrôler.
La copie marketing de la sécurité oppose souvent les approches de détection basées sur l’IA aux approches de signature, mais dans les coulisses, les bons architectes de produits de sécurité en sont venus à comprendre que ces méthodes se complètent assez élégamment. La bonne nouvelle ici est que l’hybridation des signatures avec l’IA fait une différence significative dans notre capacité à détecter les cyberattaques, y compris les ransomwares, qui étaient responsables de certaines des plus grandes cyberattaques de l’année dernière, notamment Colonial Pipeline, Kaseya et Kronos.
L’avenir de l’IA dans la cybersécurité
Malheureusement, une grande partie de la communauté de la sécurité n’explore pas les applications de l’IA au-delà du cas d’utilisation étroit de la détection d’attaques. Pour suivre le rythme des menaces, il sera nécessaire d’explorer de nouveaux domaines d’application de l’IA qui peuvent augmenter les opérateurs humains qui constituent la dernière et la plus importante ligne de défense contre les cyberattaques.
C’est difficile car cela exige que les responsables de la cybersécurité suivent l’évolution rapide de l’espace de recherche et de développement de l’IA, tout comme nous suivons les tendances des pratiques de cybersécurité et des menaces de cybersécurité. Mais c’est une priorité trop importante pour l’abandonner.
Certains domaines sur lesquels la communauté de la cybersécurité défensive doit se concentrer de toute urgence comprennent :
- Des modèles d’IA capables de prédire avec précision les cas de sécurité qui intéressent vraiment les analystes, puis d’indiquer intuitivement les informations pertinentes pour les opérateurs de sécurité.
- Une interface utilisateur en langage naturel et en visualisation, semblable à la façon dont vous pouvez rechercher des numéros de cas COVID-19, Google renvoyant les résultats dans un graphique de suivi des cas parfaitement visualisé. Ces technologies feront apparaître et visualiseront les informations pertinentes lors d’incidents de cybersécurité « à tir réel ».
- Des modèles d’IA qui peuvent aider à expliquer ce que font les observables suspects ; par exemple, des réseaux de neurones artificiels qui peuvent expliquer automatiquement le but d’un script PowerShell suspect aux utilisateurs, accélérant ainsi la compréhension des analystes des preuves pertinentes à l’incident.
Bien que nous puissions compter sur les cyber-adversaires pour faire preuve de créativité et agir avec audace en appliquant l’IA à leurs objectifs malveillants (par exemple, en utilisant l’intelligence artificielle pour générer des e-mails de phishing ou de faux profils de réseaux sociaux), l’IA ne devrait pas être le domaine des seuls attaquants dans le domaine de la cybersécurité. Nous devons continuer à améliorer progressivement l’IA que nous utilisons déjà pour améliorer la détection des cyberattaques. Et avec le paysage complexe et en évolution rapide des menaces auquel nous sommes confrontés, les DSI, les CTO et les équipes informatiques et SecOps doivent s’engager à explorer de nouvelles façons créatives d’appliquer la technologie d’IA qui se concentrent sur l’aide aux opérateurs humains dont dépend finalement la sécurité de notre réseau.