L’infrastructure de cybersécurité a besoin d’un nouveau modèle – Alerte MSSP
Les systèmes de cybersécurité sont mûrs pour être perturbés. Au fil des ans, les outils individuels ont proliféré, chacun avec son propre format de données, provoquant un déluge de données disparates.
De plus, il y a une pénurie mondiale d’analystes qualifiés en cybersécurité capables d’évaluer ces données (et ils coûtent très cher si vous pouvez les trouver). Enfin, les pirates deviennent de plus en plus intelligents et créatifs. L’IA était censée être le remède à ces problèmes, mais elle a été d’une utilité limitée pour résoudre le problème à grande échelle, car elle nécessite une infrastructure vaste et soigneusement planifiée.
Dans cet article, regardez bien le rôle de L’IA dans la cybersécurité systèmes et comment cela peut devenir une technologie véritablement transformatrice.
L’IA comme huile de serpent
L’IA est souvent mentionnée dans la littérature marketing décrivant les solutions de cybersécurité, mais jusqu’à présent, elle n’a pas été aussi transformatrice qu’on pourrait le penser. Malgré une taille de marché qui croît à un taux de croissance annuel composé de 20,5 %, l’IA reste encore difficile à déployer sur le plan opérationnel pour résoudre les problèmes de sécurité.
Si vous deviez entrer dans un centre d’opérations de sécurité (SOC) moderne, vous trouveriez probablement de grands téléviseurs avec des tableaux de bord difficiles à lire et CNN, et des analystes de sécurité qui trouveraient probablement leur travail pénible, car ils passent leur temps à corréler manuellement données et essayant de discerner ce qui se passe dans leur entreprise face à des attaques de plus en plus complexes. Si les humains font cela, cela soulève la question, Où est l’IA ?
La cybersécurité est un problème opérationnel compliqué, et c’est la courte raison pour laquelle l’IA a mis du temps à le transformer. Trouver des menaces dans une entreprise à travers des centaines de sources de télémétrie lorsque les menaces semblent souvent identiques à une activité normale est un problème très difficile. De plus, les données de chaque outil de sécurité peuvent prendre différentes formes et doivent être normalisées avant de pouvoir être utilisées pour former un système d’IA.
Indépendamment de l’industrie et du cas d’utilisation, l’IA apprend à partir des données, le moteur d’IA doit être formé avec des données afin qu’il puisse commencer à apprendre ce qui est ou n’est pas une anomalie. C’est ce qui est si confus dans le problème de sécurité : les données de sécurité de chaque entreprise semblent, au minimum, un peu différentes, avec des outils et des modèles de comportement différents, et au maximum, les données semblent extrêmement différentes.
Il n’y a pas d’ensemble de données de formation en or en matière de sécurité qui puisse être concédé sous licence comme il pourrait y en avoir pour les systèmes de reconnaissance d’images ou de parole. Si vous souhaitez utiliser l’IA pour résoudre le problème de sécurité, vous devez créer et acquérir vos propres données.
Normaliser les données pour qu’elles soient utiles à un moteur d’IA est un énorme défi. Le problème est si précieux que Scale AI, une startup qui crée des API de données pour le développement de l’IA principalement axées sur les applications de voitures sans conducteur, a décroché une valorisation de 7 milliards de dollars moins de cinq ans après sa création. Scale AI compte déjà parmi ses clients bon nombre des organisations les plus innovantes au monde.
Ce que l’IA transformatrice prendra
L’IA dans le domaine de la sécurité finira par être transformatrice, probablement à la fois pour l’attaque et la défense, mais c’est une histoire pour un autre jour. Ici, transformateur signifie largement transformateur, dans tous les aspects de la sécurité, de sorte qu’il modifie fondamentalement la façon dont une entreprise aborde la sécurité. Pour l’instant, nous devons nous contenter de quelques applications limitées où l’IA peut améliorer la sécurité.
Pourtant, il existe des points positifs pour l’IA en matière de sécurité ; ceux-ci sont faciles à trouver en réfléchissant au problème des données. Quelles parties de la pile de sécurité génèrent des données propres et formables ? La fraude par e-mail et la détection de logiciels malveillants en sont deux excellents exemples : le moteur d’intelligence artificielle peut apprendre des exemples de phishing ou des signatures de logiciels malveillants disponibles et repérer des exploits similaires.
Les données provenant des e-mails des clients et des bacs à sable des logiciels malveillants peuvent être utilisées pour former des modèles d’IA qui alimentent les produits d’entreprise. La même formation est beaucoup plus difficile à mettre en œuvre sur des problèmes tels que la détection d’attaques qui se déplacent latéralement à travers un réseau (par exemple, du pare-feu au serveur Active Directory vers un serveur de données), car ce mouvement latéral sera un peu différent dans chaque entreprise.
La création d’une IA qui protégera largement une entreprise dans toutes ses opérations numériques ressemblera en quelque sorte aux efforts déployés par les constructeurs de voitures sans conducteur aujourd’hui. Par exemple, depuis 2009, le logiciel de voiture sans conducteur Waymos s’est entraîné sur plus de 15 milliards de kilomètres de conduite simulée et plus de 20 millions de kilomètres d’expérience de conduite publique. Waymo a une approche rigoureuse des tests à différents niveaux de fidélité (simulation, circuit fermé, monde réel), exécutant des scénarios avec des milliers de variations, tout en collectant des données à des fins d’amélioration.
Ce n’est pas une analogie parfaite pour l’IA en matière de sécurité, mais il s’agit de tests assez bons avec des données simulées, de tests dans des environnements de laboratoire avec des attaques simulées ou réelles et de tests dans des opérations réelles dans un ensemble diversifié d’entreprises. Les problèmes de sécurité avec un accès naturel à des données plus propres apparaîtront avec des produits véritablement alimentés par l’IA plus tôt que les problèmes de données plus difficiles dans l’ensemble de la pile de sécurité de l’entreprise.
Il faudra du temps et des capitaux pour y arriver, et les innovations qui se concentrent impitoyablement sur le problème des données seront avant tout pour débloquer une transformation de grande envergure. Aujourd’hui, de nombreux outils de sécurité ne se concentrent tout simplement pas sur la normalisation des données, car ils ont tendance à être cloisonnés dans des points sensibles spécifiques de l’infrastructure globale.
À quoi ressemblera l’IA transformatrice en matière de sécurité
Imaginez que chaque initiative informatique, configuration, journal de sécurité et alerte puisse être examiné par le plus grand expert mondial en sécurité humaine dans ce domaine donné en temps réel, sans perturber les opérations commerciales. Imaginez que les analystes d’entreprise puissent consulter et obtenir des instructions de cet expert. L’IA en matière de sécurité finira par se sentir comme ça.
Comment? Les produits qui sont construits sur des actifs de données réfléchis, qui réduisent la complexité des données, seront finalement les rois de la catégorie, sinon le produit ne fonctionnera pas d’un client à l’autre et ce sera un produit avec des marges de type service et qui n’évoluera pas. Andreesen Horowitz a découvert de manière intéressante que la plupart de leurs sociétés d’IA d’entreprise ont des marges bien inférieures à celles des entreprises SaaS comparables en raison des coûts inhérents à la construction et à la mise à l’échelle de l’IA.
Ces futurs rois de catégorie devront d’abord investir dans l’infrastructure et la collecte de données, probablement pendant des années, avant que leurs données puissent véritablement être considérées comme un atout et contribuer à la nature auto-améliorante de leur produit. Cependant, une fois que ces rois de l’entreprise auront obtenu un véritable actif de données pour l’IA, leur rythme d’innovation sera difficile, voire impossible, à égaler par leurs concurrents, et ils seront couronnés roi de la catégorie, tant qu’ils parviendront à maintenir un produit intuitif.
Ainsi, tout comme la catégorie des moteurs de recherche s’est rapidement consolidée sur Google, il en sera de même pour les solutions de cybersécurité gourmandes en données. Plus précisément, recherchez une consolidation majeure sur les marchés de la gestion des informations et des événements de sécurité (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) et Network Detection and Response (NDR).
Ainsi, l’IA émerge d’abord dans la sécurité sur des problèmes plus petits où la complexité des données est moindre, comme indiqué précédemment dans les exemples de fraude par e-mail et de logiciels malveillants. L’IA se déploiera ensuite lentement vers des problèmes de données plus complexes, mais seuls les produits qui se concentrent impitoyablement sur la gestion de la complexité des données émergeront avec des moteurs d’IA significatifs.
Pour être efficace, un programme de sécurité basé sur l’IA doit être capable de collecter des données à partir de tous les outils de sécurité et flux de menaces disponibles, puis de normaliser ces données afin qu’elles soient utiles pour la formation du moteur d’IA. Voilà à quoi ressemblera l’avenir de l’IA en matière de cybersécurité.
Continuons la conversation ; contactez Sam Jones, vice-président de la gestion des produits chez Stellar Cyber : sam@stellarcyber.ai. Les blogs invités régulièrement contribués font partie du programme de parrainage MSSP Alerts.