Les praticiens de la cybersécurité sont convaincus qu’ils ont besoin de l’IA maintenant la partie difficile

Article de LogRhythm Vice-président des ventes APAC Simon Howe.

Comme d’autres domaines, la cybersécurité envisage depuis un certain temps la promesse d’algorithmes d’intelligence artificielle (IA) et d’apprentissage automatique (ML).

Même en 2019, près des deux tiers des répondants à une enquête de Capgemini pensaient que l’IA « aiderait à identifier les menaces critiques ». De plus, 73% des organisations australiennes pensaient qu’elles seraient finalement incapables de répondre aux attaques sans l’aide de l’IA.

L’analyse de PwC depuis lors confirme que l’IA « rend les organisations plus résilientes à la cybercriminalité ».

Depuis lors, il y a eu un mouvement constant pour que certaines fonctions de cybersécurité exploitent l’IA/ML. Il est désormais particulièrement répandu dans la détection des logiciels malveillants et de plus en plus pour l’automatisation de l’analyse et de la prise de décision dans les domaines à forte intensité de données comme la détection et la réponse aux incidents.

Mais la cybersécurité est également un espace particulièrement difficile pour l’utilisation de l’IA/ML. C’est rapide et les enjeux sont élevés. Les algorithmes mis en œuvre dans la sécurité ont besoin d’eux-mêmes d’être fiables et sécurisés, ce qui en soi n’est pas facile à résoudre.

Grâce à notre travail dans cet espace au cours des sept dernières années et plus, certaines règles de base ont émergé. En particulier, certaines des clés du succès dans cet espace incluent des données propres, une bonne analyse de rentabilisation et l’implication continue d’experts techniques et de domaine.

Les résoudre correctement résoudra bon nombre des défis actuels et rapprochera les fonctions de cybersécurité du modèle d’exploitation amélioré par l’IA dont elles ont besoin.

L’accord sur les données

Les données sont évidemment une entrée essentielle dans les algorithmes d’intelligence artificielle et d’apprentissage automatique, à la fois initialement lors de l’entraînement de ces modèles, puis de manière continue lorsque les modèles sont mis en production et devraient constamment s’améliorer dans ce qu’ils font.

La plupart des organisations ne disposent pas de données propres, unifiées et cohérentes pour alimenter un modèle dès le départ, et de nombreux projets d’IA/ML commencent par une période de préparation des données avant que le travail réel de l’IA ne puisse se poursuivre.

Cela est compris depuis un certain temps. L’enquête Capgemini, par exemple, a noté que « l’achat ou la construction d’une plate-forme de données pour fournir une vue consolidée des données devrait être une première étape pour les organisations qui souhaitent utiliser avec succès l’IA dans la cybersécurité ». Pourtant, cela sous-estime probablement le niveau d’effort impliqué.

Dans le monde de la cybersécurité, il est important de collecter des données à partir d’une gamme de sources différentes – antivirus, pare-feu, bases de données, cloud, serveurs et appareils d’utilisateur final – car c’est finalement ce qui enrichira la science des données et les modèles pour l’IA.

Ces données doivent ensuite être traitées : traitées, analysées et extraites dans un format pouvant être consommé par le modèle.

La cohérence est importante à ce stade, et selon toute vraisemblance, la plupart des organisations ne l’auront pas. Tous les journaux ne contiennent pas les mêmes champs de métadonnées. Tous les fournisseurs ne définissent même pas les champs de journal de la même manière.

Les organisations devront établir des définitions cohérentes et contextualiser les métadonnées présentes dans leurs journaux pour comprendre sur quoi former le modèle et ce qu’il doit rechercher.

Ajoutez simplement l’expertise du domaine

Comme mentionné dans la section précédente, le contexte soulève un autre point important concernant l’adoption de l’IA/ML dans la cybersécurité.

L’expertise du domaine est un intrant crucial. La première étape d’un projet AI/ML consiste à demander à un expert du domaine de définir ce qui se passe dans l’environnement qui donne lieu à un besoin d’assistance algorithmique. Le besoin peut provenir d’une détection manquée ou mauvaise d’une menace, ou de l’existence d’un trop grand nombre de faux positifs. Quoi qu’il en soit, il faut l’écrire.

Si l’IA/ML est considérée comme le meilleur moyen de relever ce défi et qu’un modèle est ensuite développé, une expertise du domaine sera toujours nécessaire pendant que le modèle trouve ses marques. L’expert comprend ce qui est normal et ce qui est inhabituel, même si le modèle ne comprend pas encore.

Par exemple, à l’époque précédant le travail à distance de masse, il était plus facile de définir à quoi pouvait ressembler la normale et l’inhabituelle dans les journaux de trafic et les modèles d’une journée de travail. Le travail à domicile à grande échelle a introduit une imprévisibilité et une complexité considérables. Un modèle ne sera pas en mesure de détecter certaines de ces nuances immédiatement, et une surveillance sera nécessaire.

Un expert du domaine sera en mesure d’examiner la sortie d’un modèle et de comprendre quelles données manquent ou comment le modèle essaie de détecter une menace de cybersécurité. Ceci est important pour comprendre comment ajuster ensuite le modèle.

Ce besoin de réglage sera permanent. Les tactiques et techniques d’attaque changent constamment, de sorte que les organisations qui utilisent l’IA/ML pour la cybersécurité doivent constamment regarder ce qui se passe sur le terrain pour comprendre comment cela affecte le modèle d’IA et sa capacité de détection.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite