Le produit pris en charge par l'IA simule les cyberattaques. Cela aide les entreprises à se préparer plus efficacement aux attaques et à les résoudre plus rapidement.
Faire face aux cyberattaques représente un énorme défi pour les équipes de sécurité, qui doivent prendre des décisions rapides en fonction de centaines de points de données et de facteurs changeants et incertains. Lors d’un récent incident de ransomware (1), il aurait fallu aux analystes environ 60 heures au total pour en comprendre pleinement la portée et les différents détails. Pourtant, l’attaque s’est déroulée en seulement 10 heures.
Cyberattaques plus complexes grâce à un outil d'IA générative
La pression et la complexité auxquelles sont confrontées les équipes de sécurité ne feront qu’augmenter. Parce que les outils d’IA générative permettent aux attaquants d’augmenter la vitesse, la portée et la sophistication de nouveaux types d’attaques. Alors que le coût moyen d’une violation de données dans le monde en 2022 s’élève à 4,35 millions de dollars(2), les enjeux pour les organisations sont importants : elles doivent rapidement réparer les dégâts, rétablir leurs opérations et préserver leur réputation.
Darktrace a lancé sa nouvelle solution Darktrace HEAL™. HEAL exploite l'IA d'auto-apprentissage de Darktrace pour apporter de nouvelles fonctionnalités aux équipes de sécurité. Ceux-ci renforcent leur cyber-résilience et les aident à réagir plus facilement et en toute sécurité aux incidents en cours.
Avec HEAL, les équipes de sécurité peuvent :
- Simulez des cyberincidents réels afin qu’ils puissent se préparer et s’entraîner à répondre à des attaques complexes sur leur propre environnement.
- Créez des playbooks personnalisés générés par l'IA au fur et à mesure qu'une attaque se déroule, en fonction des détails de leur environnement, de l'attaque et des résultats des simulations précédentes. Cela réduit la surcharge d’informations, priorise les actions et permet de prendre des décisions plus rapides dans les moments critiques.
- Automatisez les actions du plan de réponse pour arrêter et remédier rapidement à l'attaque dans l'interface utilisateur HEAL.
- Créez un rapport d'incident complet, comprenant une piste d'audit de la réponse à l'incident avec les détails de l'attaque, les actions suggérées par HEAL et les actions prises par l'équipe de sécurité, pour apprendre et soutenir la conformité.
Préparation améliorée grâce à des simulations d’incidents
Grâce aux incidents simulés de HEAL, les équipes de sécurité peuvent, pour la première fois, effectuer en toute sécurité des simulations en direct de cyberattaques réelles. Cela va du vol de données et du cryptage des ransomwares à la propagation rapide des vers, le tout dans leur propre environnement et avec leurs propres ressources. Les équipes de sécurité sont censées réagir parfaitement face à une attaque évoluant rapidement, souvent nouvelle, généralement sans aucune pratique réaliste. HEAL permet aux équipes d’acquérir une expérience concrète de la gestion des attaques telles qu’elles se produiraient dans l’entreprise. Ils peuvent également pratiquer les processus régulièrement pour affiner leurs réactions. Cela signifie que dans le cas d'une attaque réelle, les équipes n'y réagissent pas pour la première fois.
Nouvelle réponse aux incidents avec des playbooks personnalisés générés par l'IA
Lorsqu'un incident en direct se produit, HEAL utilise les informations de Darktrace DETECT™ pour créer une image de l'attaque et un playbook personnalisé généré par l'IA pour la réponse. Ceci est basé sur la connaissance de Darktrace de l'incident, de l'environnement de l'entreprise et des enseignements tirés des simulations précédentes de l'équipe de sécurité. HEAL recommande un ordre de remédiation prioritaire en fonction de facteurs tels que les dommages supplémentaires que l'actif compromis peut causer, la mesure dans laquelle l'attaque s'appuie sur cet actif comme point d'appui ou point d'entrée et son importance pour l'organisation. En conséquence, les équipes de sécurité peuvent ajuster leurs contre-mesures à mesure qu'un incident se développe, le mettant ainsi fin plus rapidement et avec moins de perturbations.
"En réalité, les calendriers manuels de réponse aux incidents ne durent pas longtemps", a déclaré Neal Mohammed, responsable de la technologie chez la grande société immobilière Rudin Management. « De nos jours, le paysage cybernétique évoluant très rapidement, ils peuvent devenir obsolètes dans les 24 heures suivant leur création. Nous devons constamment les réviser car il y a tellement de choses auxquelles nous ne pensons pas. En outre, ces playbooks supposent que vous disposez d’un environnement contrôlé. Cependant, ce n’est pas le cas d’une attaque. L'utilisation des solutions d'IA de Darktrace élimine le besoin de manuels de jeu rudimentaires et statiques.
Récupération désormais avec correction et reporting automatisés
HEAL permet aux équipes de sécurité de gérer les incidents et de récupérer les systèmes rapidement et efficacement. La solution s'intègre à une variété d'outils dans la pile de sécurité plus large d'une organisation pour automatiser les actions. Dans les playbooks en direct de HEAL, les équipes peuvent activer et gérer les outils autorisés dans tout leur environnement via une interface en un clic. Au lancement, HEAL s'intègre à Microsoft Defender pour Endpoint, Intune, Microsoft 365, Veeam® et Acronis.
HEAL fournit aux équipes de sécurité des rapports d'incidents automatisés pendant et après une attaque. Cela libère un temps précieux pour les équipes, qu'elles consacrent normalement à la rédaction de mises à jour détaillées. Les rapports fournissent une analyse des actions, des décisions et des informations de confinement et de récupération de l'attaquant et de l'équipe de sécurité pour tenir les parties prenantes informées du déroulement d'un événement. En cas d'attaque, les informations de conformité critiques peuvent être mises à la disposition de tiers tels que les équipes médico-légales, les compagnies d'assurance et le service juridique. Ils peuvent également être utilisés pour étayer les examens et les enseignements tirés des attaques et des réponses.
Boucler la boucle de la cyber-IA
HEAL fonctionne avec DETECT et Darktrace PREVENT™ pour créer une image en direct de l'environnement et de l'attaque. L'intégration avec Darktrace RESPOND™ permet également de hiérarchiser, d'isoler et de réparer les ressources clés pour perturber et raccourcir les attaques. Ceci complète la boucle Darktrace Cyber AI qui rassemble DETECT, PREVENT, RESPOND et HEAL dans une seule plate-forme où chaque élément tire des informations des autres et les amplifie continuellement pour fournir les meilleures cyberdéfenses de leur catégorie.
Jack Stockdale, directeur de la technologie chez Darktrace, commente : « Chez Darktrace, nous développons des technologies en considérant les domaines dans lesquels l'IA est la plus utile pour aider les membres d'une équipe de sécurité et comment elle peut avoir l'impact le plus positif sur leur travail. Avec HEAL, nous avons tourné notre attention vers la cyber-résilience. Nous formons les équipes et réduisons la surcharge des analystes lors d'une attaque afin que les organisations puissent se rétablir plus rapidement et plus efficacement et reprendre leurs opérations normales. Avec la fermeture de la Cyber AI Loop de Darktrace, les équipes de sécurité humaine peuvent optimiser leur temps et leurs compétences en se concentrant sur des tâches critiques et complexes. Cela se fait en sachant que l’IA de Darktrace fonctionne de manière autonome en arrière-plan pour prévenir, détecter, répondre et récupérer des cyberattaques dans une boucle continue et croissante.
(1) Une attaque Black Cat sur un client identifié par Darktrace Cyber AI Analyst en avril 2023
(2) IBM et Ponemon Institute, Coût d'une violation de données 2022 : https://www.ibm.com/downloads/cas/3R8N1DZJ
À propos de Darktrace Darktrace, un leader mondial de l'intelligence artificielle pour la cybersécurité, protège les entreprises et les organisations contre les cyberattaques grâce à la technologie de l'IA. La technologie de Darktrace enregistre des modèles de trafic atypiques qui indiquent des menaces possibles. Ce faisant, il reconnaît les méthodes d'attaque nouvelles et jusque-là inconnues qui sont ignorées par d'autres systèmes de sécurité.
Articles liés au sujet