Le nombre sans cesse croissant de cyberattaques réussies montre à quelle fréquence les attaquants atteignent leurs objectifs malgré les solutions de prévention modernes. En conséquence, l'accent est de plus en plus mis sur les technologies qui permettent de découvrir rapidement les attaques en cours - NDR (Network Detection & Response). L'intelligence artificielle - IA - et l'apprentissage automatique - les systèmes basés sur le ML jouent ici un rôle majeur.
Cependant, étant donné que ces termes sont souvent mélangés et que le sujet "AI & ML" est encore un livre fermé pour de nombreuses entreprises, Andreas Riepen, responsable de l'Europe centrale et orientale chez Vectra AI, va au fond de trois questions fondamentales.
Panacée ou arme contre les entreprises ?
L'un des mythes les plus répandus découle directement des positions extrêmes prises dans le débat sur l'efficacité de l'IA et du ML en tant que solutions de cybersécurité. À un extrême se trouve l'argument selon lequel l'IA et le ML sont la panacée pour tous les problèmes liés à la cybersécurité. À l'autre extrême se trouve l'argument selon lequel l'IA et le ML ne jouent aucun rôle dans la cybersécurité. Malheureusement, la vérité réelle fait beaucoup moins la une des journaux et est moins facilement citée par les services marketing. Le fait est que l'IA et le ML en eux-mêmes ne sont pas une panacée pour votre centre d'opérations de sécurité (SOC). Cependant, renoncer à l'IA et au ML laisserait votre SOC tâtonner dans le noir sur un large éventail d'attaques actuelles et futures. Il est facile de voir pourquoi c'est le cas.
Les solutions qui ne tirent pas parti de l'IA ou du ML ne peuvent pas suivre le rythme de l'évolution constante des techniques et des outils des pirates. Un autre problème (potentiellement plus grave) est le fait que certaines tâches ne peuvent tout simplement pas être effectuées par des humains seuls. Par exemple, les humains sont incapables d'examiner une série chronologique de flux de trafic réseau chiffrés pour prédire lesquels d'entre eux pourraient contenir un canal de commande et de contrôle caché. Ce type de tâche nécessite des solutions d'IA et de ML qui vont au-delà des capacités humaines.
Les solutions d'IA et de ML doivent être améliorées
D'autre part, les solutions utilisant uniquement des techniques générales d'IA et de ML, développées sans contexte de sécurité ni spécificité de domaine, ont tendance à simplement rechercher des anomalies statistiques dans un environnement. Ces anomalies elles-mêmes sont susceptibles d'être assez courantes, bien qu'il soit très peu probable que l'une d'entre elles soit maligne. Cela entraîne une augmentation de l'attention et des coûts opérationnels, et détourne l'attention des comportements réels des attaquants, qui sont souvent conçus pour paraître inoffensifs. Faire aveuglément confiance aux solutions de cybersécurité basées sur des constructions génériques d'IA et de ML, c'est comme essayer de trouver une aiguille dans une botte de foin en ajoutant d'abord plus de foin.
Un autre mythe qui continue de se perpétuer est la notion selon laquelle l'IA offensive constitue la plus grande menace pour un environnement. Bien qu'il existe de nouvelles menaces liées à l'utilisation de l'IA dans le cyberespace (par exemple, l'utilisation de l'IA pour générer un texte humain crédible pour les campagnes de phishing et la création de contrefaçons, comme nous l'avions prédit il y a quelques années), l'idée que des systèmes basés sur l'IA sont actuellement utilisés à des fins -to-end attaques est tout simplement détaché de la réalité. Quiconque vend un produit de sécurité au client en partant du principe que les attaquants IA sont sa principale menace, plutôt que des attaquants humains déterminés et créatifs, peut également avoir une solution de contournement qu'il essaie de vous vendre.
Déficits humains dans les tâches de cybersécurité
Les organisations voient l'IA comme une opportunité d'éliminer complètement le déficit humain dans les tâches de cybersécurité. Est-ce réaliste ? La réponse à cette question dépend en grande partie de la façon dont on interprète le mot fixer. La pénurie d'experts en cybersécurité et les risques qui en découlent sont incontestables. Cette lacune devrait susciter des inquiétudes profondes et durables parmi ceux qui s'occupent de la sécurité nationale et de la planification économique. Alors que nos vies dépendent de plus en plus des systèmes numériques connectés, nous devons faire face au fait que nous créons de nouvelles surfaces d'attaque beaucoup plus rapidement que nous ne formons des experts pour sécuriser ces systèmes.
Dans cet esprit, il est nécessaire de souligner que l'IA et le ML peuvent jouer un rôle clair pour désamorcer la situation. Il y a finalement deux raisons pour lesquelles c'est le cas : premièrement, l'IA et le ML peuvent être utilisés pour reproduire certains aspects du comportement humain. Deuxièmement, l'IA et le ML peuvent être utilisés pour aller au-delà de ce dont les humains sont capables. Dans le premier cas, il est possible d'automatiser des parties du workflow des professionnels de la sécurité. Dans le second cas, l'IA et le ML peuvent être utilisés pour attirer l'attention des experts sur les menaces réelles au lieu de se concentrer sur des comportements superficiels et inoffensifs.
En fin de compte, il n'y a aucun moyen de sortir de la pénurie d'experts en cybersécurité. Davantage de personnes doivent être formées dans ce domaine. Pourtant, l'IA et le ML joueront un rôle crucial en aidant les experts à trouver et à éliminer les menaces.
Que faut-il savoir sur les différences entre l'IA et le ML dans les systèmes de sécurité ?
La distinction entre IA et ML est probablement devenue si floue qu'essayer de vraiment séparer les deux termes n'est plus très utile. Une avenue beaucoup plus importante et fructueuse pour les entreprises consiste à se demander si le type de technologie dans une solution donnée fait des choses qu'un humain seul ne pourrait pas faire. Cela fait-il gagner du temps à un analyste humain ? Ou cela détourne-t-il l'attention des attaques réelles que l'analyste espère découvrir ? S'enliser dans le fait qu'il s'agisse ou non d'IA ou de ML équivaut à s'inquiéter de savoir si les sous-marins flottent ou non. En fin de compte, il s'agit de savoir si la solution fonctionne ou non.
Plus sur Vectra.ai
À propos de Vectra Vectra est un fournisseur leader de détection et de réponse aux menaces pour les entreprises hybrides et multi-cloud. La plate-forme Vectra utilise l'IA pour détecter rapidement les menaces dans le cloud public, les applications d'identité et SaaS et les centres de données. Seul Vectra optimise l'IA pour reconnaître les méthodes des attaquants - les TTP (Tactiques, Techniques et Processus) qui sous-tendent toutes les attaques - plutôt que de simplement alerter sur "différent".