Il existe deux types de cyberattaques : les tentatives opportunistes automatisées de pénétration d'un réseau et les attaques ciblées de type Advanced Persistent Threat (APT). Les premiers sont majoritaires et l'intelligence artificielle (IA) peut bloquer automatiquement la plupart d'entre eux. Mais derrière un APT il y a souvent du monde. Se défendre contre de telles attaques au niveau du réseau nécessite à la fois des experts en intelligence artificielle et en sécurité.
Les pirates sont d'abord identifiés par les traces de leurs logiciels malveillants sur le réseau. Cependant, ces modèles de trafic anormaux se perdent facilement dans la masse d'informations. Livré à lui-même, le responsable informatique humain est débordé lorsqu'il s'agit de les reconnaître.
Reconnaître est une chose, cependant
L'intelligence artificielle apporte une contribution importante à la défense, détectant en temps réel les anomalies dans le trafic de données sur la base de métadonnées, puis déclenchant l'alarme pour déclencher des réactions défensives. Selon les experts de Splunk, l'IA et les cyberdéfenses automatisées peuvent détecter automatiquement 90 % des incidents de sécurité de niveau 1 et initier des mesures correctives.
La question demeure : qu'en est-il des XNUMX % restants ? Étant donné que les auteurs humains sont souvent à l'origine d'attaques complexes, la logique humaine et le jugement humain lors de l'analyse des informations sont essentiels pour une défense à l'épreuve du temps.
Valeur ajoutée grâce à des analystes humains en sécurité informatique
Plus aucune cyberdéfense ne peut se passer de l'IA. Mais les observateurs humains offrent toujours un avantage important :
1. L'IA et l'intelligence humaine se complètent
L'IA optimisée avec l'apprentissage automatique (ML) et les renseignements sur les menaces peut analyser de grandes quantités d'informations rapidement et sans erreur. L'expert en sécurité informatique s'appuie sur cela et interprète les modèles de trafic de données. Parallèlement, il dirige la défense selon des processus éprouvés. En raison de sa connaissance de l'entreprise et de l'informatique, il est également un important coach en intelligence artificielle. Ici, il accélère la définition des transmissions de données normales et donc légitimes - entre autres en étiquetant les systèmes critiques pour la sécurité informatique. Il prend également en compte ces informations qui ne sont pas visibles dans le trafic réseau : si, par exemple, des appareils sont disponibles mais pas gérés de manière centralisée, ou si une entreprise installe un nouveau siège social, ce qui explique les demandes avec des adresses IP inhabituelles jusqu'alors. indiquer. Ou lorsqu'il met en œuvre de nouvelles technologies, applications et donc de nouveaux systèmes.
2. Évaluer les informations dans leur contexte
L'intelligence artificielle est une approche statistique. Puisque reconnaître, se défendre et prévenir les dangers nécessitent des connexions qui vont au-delà des données individuelles, les personnes et leur capacité de jugement jouent un rôle important. La connaissance concrète de l'entreprise est utile, par exemple, lorsqu'un fournisseur de services informatiques mandaté par une entreprise agit soudainement dans un sous-réseau pour lequel il n'a aucune commande. Même si le modèle de trafic de données semble banal au premier abord, le dépassement des compétences peut indiquer un fournisseur de services informatiques compromis et doit être vérifié.
3. Anticipez les prochains mouvements du hacker
Les menaces complexes avancées persistantes (APT) sont toujours d'origine humaine. Derrière les attaques de phishing contre des personnes importantes de l'entreprise, il n'y a souvent pas de robots spammeurs, mais des professionnels de l'ingénierie sociale qui accèdent à Internet via une pièce jointe ciblée. L'IA reconnaît alors qu'un attaquant humain altère le réseau. Les tactiques individuelles du pirate ne sont pas reflétées dans les indicateurs statistiques. Pour anticiper les prochaines étapes de l'attaquant, un analyste de sécurité expérimenté peut se mettre à la place du pirate et anticiper ses prochains mouvements.
4. Évaluer la motivation globale de l'agresseur
Une cyberdéfense doit tenir compte des motivations d'un criminel. Tous les attaquants ne veulent pas voler des données, les chiffrer et recevoir une rançon. Les pirates ont différents motifs : le détournement de ressources pour exploiter des bitcoins, peut-être un sabotage à motivation politique ou personnelle, ou simplement le désir de détruire. Ainsi, une défense ne doit pas seulement sécuriser les données ou colmater les fuites d'informations. Une réponse soutenue nécessite une compréhension de la psychologie humaine.
5. Une sécurité pertinente et priorisée plutôt que des mécanismes de défense automatiques
Un analyste en sécurité informatique hiérarchise les risques individuellement pour une entreprise. Le choix de la défense dépend du contexte : s'agit-il de données récupérables qui n'ont peut-être plus aucune valeur pour l'entreprise ou des joyaux de la couronne tant cités ? L'IA ne peut pas répondre aux questions qui en résultent sur une défense appropriée à la situation compte tenu de la pertinence des données ou des processus pour le succès de l'entreprise.
De plus, l'analyste a un œil sur les attaques typiques de l'industrie. Si des pirates attaquent actuellement le marchand en ligne X avec des logiciels malveillants, il ne peut pas être exclu qu'ils essaient ensuite les concurrents Y et Z. Une IA qui ne surveille que son propre réseau ne voit un tel risque que si elle est soutenue par des renseignements à jour sur les menaces.
6. Dirigez les défenses et évitez les dommages collatéraux
Une IA a de grands atouts pour reconnaître un danger et peut automatiquement déclencher une défense. Cependant, chaque défense a des effets secondaires et peut nuire aux processus informatiques ou commerciaux. La défense n'est peut-être pas moins complexe et conséquente que l'APT. Les analystes en sécurité sont donc recherchés ici car ils peuvent considérer et peser les conséquences des actions. L'expertise humaine peut éviter des dommages collatéraux injustifiables, tels que le blocage de l'accès aux bâtiments ou des systèmes informatiques contrôlés par l'IdO dans les soins infirmiers.
Lors du suivi d'une attaque, un analyste de sécurité a alors un rôle de conseil important. À l'aide d'un enregistrement en miroir de l'ensemble du réseau, il peut comprendre de manière médico-légale ce qui s'est passé et comment de futures attaques peuvent être évitées.
Les experts en intelligence artificielle et en sécurité dépendent les uns des autres
La sécurité informatique sans IA appartient au passé. Néanmoins, l'expert en sécurité ne deviendra pas superflu. Il reste pertinent en tant qu'interprète continu des alarmes, en tant que superviseur dans les situations de crise et en tant que conseiller pour une sécurité informatique pérenne. Chaque "Détection et Réponse" est idéalement complétée par une "Détection et Réponse Managées".
Plus sur ForeNova.com
À propos de ForeNova ForeNova est un spécialiste de la cybersécurité basé aux États-Unis qui propose aux entreprises de taille moyenne une détection et une réponse réseau (NDR) abordables et complètes pour atténuer efficacement les dommages causés par les cybermenaces et minimiser les risques commerciaux. ForeNova exploite le centre de données pour les clients européens à Francfort a. M. et conçoit toutes les solutions conformes au RGPD. Le siège européen est à Amsterdam.