Les trois principaux cas d’utilisation de l’IA dans la cybersécurité
Les professionnels de la cybersécurité sont confrontés à un environnement de menaces sans précédent, avec un nombre record d’attaques, une pénurie de personnel qualifié et une agressivité et une sophistication croissantes de la part des acteurs des États-nations.
Pour de nombreux responsables de la cybersécurité des centres de données, la solution miracle à tous ces problèmes est l’intelligence artificielle. Il promet de permettre aux équipes de sécurité de gérer plus de menaces que jamais auparavant, d’une plus grande complexité que jamais, avec de moins en moins de personnes.
En fait, selon une enquête mondiale publiée en septembre dernier par Pillsbury, un cabinet d’avocats mondial spécialisé dans la technologie, 49 % des dirigeants pensent que l’intelligence artificielle est le meilleur outil pour contrer les cyberattaques des États-nations.
Et ils y mettent leur argent. Pillsbury prévoit que les dépenses d’IA liées à la cybersécurité augmenteront à un taux de croissance annuel composé de 24 % jusqu’en 2027 pour atteindre une valeur marchande de 46 milliards de dollars.
L’utilisation de l’apprentissage automatique est répandue dans la cybersécurité, a déclaré l’analyste d’Omdia Fernando Montenegro. Ses applications comprennent des algorithmes de classification utilisés pour la détection de logiciels malveillants et de spam, des algorithmes de détection d’anomalies utilisés pour détecter le trafic malveillant ou les comportements des utilisateurs, et des algorithmes de corrélation utilisés pour connecter des signaux provenant de systèmes disparates.
Habituellement, tout outil ou produit de cybersécurité qui met en œuvre ces cas d’utilisation utilisera probablement des techniques d’apprentissage automatique, a-t-il déclaré. Connaissance du centre de données.
Plus précisément, selon les experts, l’intelligence artificielle et l’apprentissage automatique font déjà leurs preuves pour détecter les logiciels malveillants de type « zero-day », identifier et hiérarchiser les menaces et, dans certains cas, prendre des mesures automatisées pour résoudre rapidement les problèmes de sécurité à grande échelle.
Logiciels malveillants du jour zéro
Les attaquants deviennent extrêmement efficaces pour créer des versions mises à jour des logiciels malveillants, qui peuvent échapper à la détection basée sur les signatures.
L’année dernière, l’AV-Test Institute a recensé plus de 1,3 milliard de nouveaux malwares et applications potentiellement indésirables.
Selon un rapport de juillet d’Ernst & Young, 77 % des dirigeants mondiaux ont constaté une augmentation des attaques perturbatrices telles que les ransomwares au cours de l’année écoulée, contre 59 % l’année précédente.
Les systèmes alimentés par l’IA et le ML peuvent analyser les logiciels malveillants en fonction de caractéristiques inhérentes plutôt que de signatures. Par exemple, si un logiciel est conçu pour crypter rapidement plusieurs fichiers à la fois, c’est un comportement suspect. S’il prend des mesures pour se cacher de l’observation, c’est un autre signe que le logiciel n’est pas légitime.
Un outil basé sur l’IA peut examiner ces caractéristiques, et bien d’autres, afin de calculer le risque d’un nouveau logiciel inédit.
L’IA peut marquer des choses comme des logiciels malveillants qui ne ressemblent pas à des échantillons de logiciels malveillants antérieurs, a déclaré Kayne McGladrey, membre senior de l’IEEE et stratège en cybersécurité chez Ascent Solutions.
Le résultat peut être une amélioration spectaculaire de la sécurité des terminaux.
La technologie héritée basée sur les signatures est efficace pour arrêter 30 à 60 % des menaces, a déclaré Chuck Everette, directeur de la défense de la cybersécurité chez Deep Instinct. L’apprentissage automatique porte l’efficacité jusqu’à 80% à 92%.
Avec plus d’employés travaillant à domicile depuis le début de la pandémie, la sécurité des terminaux est devenue beaucoup plus critique.
Les ransomwares ont atteint un niveau record l’année dernière, a rapporté Expel, le fournisseur de détection et de réponse gérées, dans un rapport publié la semaine dernière.
Et huit attaques de rançongiciels sur dix étaient des utilisateurs auto-installés qui infectaient involontairement leurs réseaux en ouvrant un fichier malveillant contenant des logiciels malveillants.
La sécurité des terminaux est une excellente étude de cas, a déclaré Steve Carter, co-fondateur et PDG de Nucleus Security. Presque tous les fournisseurs de cet espace ont développé et formé des systèmes d’apprentissage automatique pour identifier en temps réel les comportements anormaux du système et des utilisateurs afin d’empêcher l’exécution des logiciels malveillants connus et inconnus.
Les systèmes précédents utilisaient une liste de signatures connues de programmes malveillants, a-t-il déclaré Connaissance du centre de données. La méthode moderne consiste à essayer de détecter des programmes malveillants jusque-là inconnus.
Identification et hiérarchisation des menaces
Les analystes du centre des opérations de sécurité sont submergés par les alertes de sécurité qui arrivent chaque jour, dont beaucoup sont de faux positifs. Ils finissent par passer trop de temps à faire du travail de routine et pas assez de temps à travailler sur les gros problèmes ou à manquer complètement ces attaques avancées.
Tous les fournisseurs doivent utiliser l’IA et le ML aujourd’hui, juste pour gérer le volume de menaces et la sophistication des menaces, a déclaré Etay Maor, professeur de cybersécurité au Boston College et directeur principal de la stratégie de sécurité chez Cato.
Dans une enquête de Trend Micro sur la sécurité informatique et les décideurs SOC publiée en mai dernier, 51 % ont déclaré être submergés par le volume d’alertes et 55 % ont déclaré qu’ils n’étaient pas confiants dans leur capacité à les hiérarchiser et à y répondre.
De plus, selon l’enquête, les répondants passaient jusqu’à 27 % de leur temps à traiter des faux positifs.
Pendant ce temps, les vrais points positifs peuvent facilement être manqués.
Selon une enquête menée par Critical Start auprès des professionnels du SOC en mars, près de la moitié désactivent les fonctionnalités d’alerte à volume élevé lorsqu’il y a trop d’alertes à traiter.
Il y a eu plus de 900 attaques par organisation et par semaine au quatrième trimestre de l’année dernière, un record absolu, selon un rapport de Check Point publié le mois dernier.
Le nombre total d’attaques sur les réseaux d’entreprise a augmenté de 50 % l’an dernier par rapport à 2020.
Selon le rapport d’enquête sur les violations de données de Verizons, 20 % des violations ont pris des mois ou plus avant que les organisations ne réalisent que quelque chose n’allait pas.
Corréler des événements disparates dans un environnement d’entreprise et déterminer ceux qui indiquent une menace réelle est quelque chose que l’intelligence artificielle peut bien faire.
Les grandes choses que l’on voit effectivement dans la cybersécurité en ce moment autour de l’IA sont la gestion des incidents de sécurité et des événements, a déclaré Ascent Solutions Kayne McGladrey.
La raison en est qu’il s’agit d’une grande analyse de modèles, a déclaré McGladrey Connaissance du centre de donnéeset l’IA est très douée pour effectuer de grandes analyses de modèles.
Il le fait à une échelle et à une vitesse que les défenseurs humains ne peuvent égaler, a-t-il déclaré.
Prendre des mesures automatisées
Enfin, l’intelligence artificielle et l’apprentissage automatique peuvent être utilisés pour automatiser les tâches répétitives, telles que la réponse aux volumes élevés d’alertes à faible risque.
Il s’agit d’alertes pour lesquelles une réponse doit être rapide, mais les risques de commettre une erreur sont faibles et le système a un degré élevé de certitude quant à la menace. Par exemple, si un échantillon connu de ransomware apparaît sur l’appareil d’un utilisateur final, l’arrêt immédiat de sa connectivité réseau peut sauver le reste de l’entreprise d’une infection dangereuse.
L’automatisation intelligente peut intervenir et résoudre ces problèmes le cas échéant, aidant ainsi les entreprises à faire face à une pénurie de professionnels qualifiés en cybersécurité.
De même, l’automatisation intelligente peut être utilisée pour collecter des recherches sur les incidents de sécurité, en extrayant des données de plusieurs systèmes et en les assemblant dans un rapport prêt à être examiné par les analystes, ce qui leur évite beaucoup d’efforts de routine.
Il y a dix ans, les gens avaient peur que l’IA ne vous prenne votre travail, a déclaré Catos Maor. Cela ne vous prendra pas votre travail. Cela va juste enlever le bruit.
Les personnes intelligentes en cybersécurité coûtent cher et sont difficiles à garder, a-t-il déclaré.
Laissez-les faire les choses intelligentes, les enquêtes approfondies au lieu d’essayer de corréler différents systèmes, a-t-il déclaré.
Il y a une pénurie mondiale de 2,72 millions de professionnels de la cybersécurité, selon l’étude 2021 (ISC)2 sur la main-d’œuvre en cybersécurité publiée en octobre dernier.
Ce chiffre est en baisse par rapport aux 3,12 millions de 2020, en raison de l’arrivée de 700 000 nouveaux entrants sur le terrain. Mais même avec l’afflux de nouveaux talents, la demande continue de dépasser largement l’offre. Selon (ISC)2, la main-d’œuvre mondiale en cybersécurité doit augmenter de 65 % pour défendre efficacement les actifs critiques des organisations.
Les limites de l’IA
L’intelligence artificielle et l’apprentissage automatique sont très prometteurs, mais ce n’est pas une panacée universelle.
Alors que les technologies d’IA et de ML sont dans certains cas exploitées pour améliorer la détection et la réponse, les organisations doivent comprendre que l’intelligence artificielle et l’apprentissage automatique ne sont pas des réponses en soi, a déclaré Joe McMann, responsable du portefeuille mondial de cybersécurité chez Capgemini.
Malgré ses avantages, l’IA n’est pas parfaitement adaptée pour détecter les cybermenaces, a-t-il déclaré. D’une part, il ne gère pas bien les changements, comme une pandémie soudaine et inattendue qui modifie complètement le comportement au travail des employés.
Comme tout outil ou plate-forme, afin d’obtenir le meilleur rendement, ils doivent être intégrés dans l’écosystème global, constamment modifiés et ajustés, et mesurés pour une efficacité continue, a déclaré McMann.
Les meilleurs cas d’utilisation pour les algorithmes les plus avancés sont ceux qui n’évoluent pas beaucoup dans le temps, car l’étiquetage des données et les modèles de formation sont des processus qui prennent du temps.
Dans de nombreux cas, les réseaux d’entreprise en particulier changent trop rapidement pour que les algorithmes de détection d’anomalies soient utiles, a déclaré Nash Borges, vice-président de l’ingénierie et de la science des données chez Secureworks.
La croyance selon laquelle la détection d’anomalies peut être utilisée pour en savoir plus sur le comportement normal d’un environnement d’entreprise afin de générer des alertes significatives dès que quelque chose d’anormal se produit relève plus de la fantaisie que de la réalité, a-t-il déclaré. Connaissance du centre de données. Les comportements numériques des environnements d’entreprise ne peuvent pas vraiment être référencés. Ce sont des systèmes entièrement dynamiques, répondant constamment à un éventail de conditions internes et externes.
Les anomalies sont courantes, a-t-il dit, et sont rarement causées par des acteurs malveillants.
Un autre problème lié à l’utilisation de l’IA pour les incidents de cybersécurité est qu’il existe un déséquilibre des données dans ce secteur qui est plus important que dans de nombreux autres domaines.
Une entreprise peut voir 300 milliards d’événements par jour, dont moins d’une douzaine sont de véritables incidents malveillants pouvant avoir de graves conséquences.
Donc, même si vous aviez un détecteur incroyable qui était précis à 99,999 %, vous rechercheriez chaque jour cette douzaine de vrais positifs dans une mer de 3 millions de faux positifs, a-t-il déclaré.
En raison de ces limitations et d’autres, alors que de nombreux fournisseurs prétendent avoir des solutions alimentées par l’IA, la technologie n’est peut-être pas encore prête pour les heures de grande écoute et de nombreuses entreprises feraient mieux d’investir leurs ressources dans les fondamentaux.
Il existe une fascination disproportionnée pour la poursuite des outils d’IA brillants au lieu de se concentrer sur l’application correcte des principes de base de la cybersécurité, a déclaré Nucleus Securitys Carter.
Le journaliste indépendant en cybersécurité Alex Korolov a contribué à ce rapport.