Pourquoi l'automatisation, l'intelligence artificielle et l'apprentissage automatique deviennent de plus en plus importants pour les opérations SOC. Comparés aux humains, les algorithmes sont tout simplement beaucoup plus rapides à définir un état normal des processus informatiques ou à identifier des modèles de comportement.
Les fournisseurs de technologie travaillent constamment à améliorer la sécurité informatique dans les entreprises. Mais bien que les centres d'opérations de sécurité (SOC) s'améliorent pour parer aux menaces, il reste encore beaucoup à faire. L'IA, l'apprentissage automatique (ML) et l'automatisation soutiennent efficacement les experts sans les rendre superflus.
Intelligence artificielle et apprentissage automatique (ML) dans le SOC
L'idée qu'une défense basée uniquement sur la technologie n'est pas suffisante a constitué une base importante pour améliorer le travail du SOC. Dans le jeu du chat et de la souris entre la cyberdéfense et l'attaque, les attaquants ont souvent une longueur d'avance cruciale. L'utilisation de nouvelles technologies telles que l'automatisation, l'intelligence artificielle et l'apprentissage automatique (ML) joue donc un rôle important pour soulager les gens. Par rapport aux humains, les algorithmes sont tout simplement beaucoup plus rapides à définir un état normal des processus informatiques - la soi-disant ligne de base -, à identifier les modèles de comportement et à reconnaître les écarts par rapport aux processus normaux.
Mais cela ne fonctionne pas sans la pensée humaine. Une cyberdéfense efficace nécessite à la fois des technologies d'automatisation ciblées et efficaces ainsi que l'IA et l'apprentissage automatique (ML) d'une part, qui complètent les connaissances spécialisées et l'expertise d'un défenseur humain d'autre part. Les deux peuvent faire partie d'un centre d'opérations de sécurité (SOC) interne ou d'un service externalisé tel que Managed Detection and Response (MDR).
La nécessité du jugement humain est et reste incontestée
C'est une idée fausse courante que plus de technologie signifie moins de besoins pour les gens. L'automatisation, l'intelligence artificielle et l'apprentissage automatique ne remplaceront probablement jamais complètement le besoin de prise de décision humaine en matière de sécurité informatique. L'analyste humain reste irremplaçable tant qu'il fait face à un agresseur en chair et en os.
En effet, l'esprit du pirate est trop intelligent et peut utiliser la pensée abstraite pour contourner les défenses et infiltrer un réseau cible d'une manière que les outils technologiques ne voient tout simplement pas. Ensuite, par exemple, même la solution EDR (Endpoint Detection and Response) la plus avancée a peu de chance contre un employé qui est amené à donner un mot de passe administratif en utilisant l'ingénierie sociale.
La technologie et les gens doivent travailler ensemble
Les analystes de la sécurité humaine qui pensent et agissent comme l'attaquant offrent les meilleures chances de contrecarrer le comportement individuel, jamais complètement prévisible, d'un cybercriminel. L'IA, le ML et l'automatisation fournissent aux experts des informations pour améliorer et accélérer les évaluations et les décisions fondées pour se défendre contre les attaques complexes. Un enrichissement automatisé qui fournit à l'analyste toutes les informations pertinentes doit s'appuyer sur diverses bases de connaissances et ressources de recherche afin que les analystes puissent comprendre le champ de bataille dans lequel ils opèrent et prendre des décisions éclairées. Sur cette base, les analystes qui comprennent ce que l'attaquant essaie d'accomplir peuvent alors initier des mesures de réponse appropriées.
Là où l'automatisation, l'intelligence artificielle et l'apprentissage automatique connaissent déjà du succès
Les initiatives d'automatisation, de ML et d'IA sont déjà couronnées de succès dans divers domaines de la sécurité informatique. Là où les attaquants automatisent leurs attaques, par exemple, la défense automatisée est suffisante en retour. L'IA et le ML aident également à contrer les attaques avec credential stuffing. Ici, la Threat Intelligence sert de guide pour développer des outils capables de détecter les acteurs malveillants. Les analystes de sécurité reçoivent ensuite des conseils sur la meilleure façon de définir les indicateurs de compromission (IOC).
L'automatisation et le ML peuvent également prédire l'évolution des logiciels malveillants. Cela vous permet de créer une signature unique contre les nouveaux logiciels malveillants, ce qui aide ensuite à détecter d'autres attaques. Un autre domaine d'application important est la collecte et le traitement de grandes quantités de données de sécurité. Ces données sont nécessaires pour découvrir et vérifier une activité anormale comme un risque, et donc pour trouver l'aiguille proverbiale dans un tas d'aiguilles.
Ainsi, le SOC du futur utilisera l'IA, le ML et l'automatisation
Aperçu d'un SOC Bitdefender (Image : Bitdefender).
En général, l'IA, le ML et l'automatisation amélioreront l'efficacité des SOC et fourniront aux analystes un contexte plus en temps réel. De plus, l'IA peut imiter les attaquants. Il analyse de vastes environnements et les compare aux vulnérabilités connues pour ensuite prédire comment un acteur malveillant exploiterait ces surfaces d'attaque. Ces informations sont extrêmement précieuses pour les analystes afin de prévenir les attaques de manière proactive.
Les assistants intelligents joueront un rôle important en matière de mise à l'échelle. Actuellement, les analystes ne peuvent collecter manuellement qu'une quantité limitée de données. Cependant, plus il y a d'informations disponibles, plus on peut en déduire de modèles, de relations et d'idées. Cependant, les modèles de licence de nombreux outils ont jusqu'à présent fortement limité le volume de données utilisé. À l'avenir, cette limitation n'existera plus guère et de grands ensembles de données pourront être examinés de manière plus stratégique et des analyses prédictives pourront être effectuées.
Conclusion : les assistants intelligents sont venus pour rester
La sécurité informatique restera un jeu moderne du chat et de la souris. L'IA, le ML et l'automatisation gagnent déjà du terrain dans les opérations SOC et aident les analystes à améliorer la sécurité informatique dans l'entreprise. Les aides intelligentes offrent déjà de nombreux avantages, notamment lorsqu'il s'agit d'identifier rapidement et avec précision les risques potentiels. À l'avenir, les algorithmes seront utilisés pour de nombreuses autres applications en sécurité informatique, augmentant ainsi la sécurité. Les entreprises sont bien avisées d'utiliser déjà des technologies établies basées sur l'automatisation, l'IA et le ML dans leur SOC et de garder un œil attentif sur les nouvelles technologies. Indépendamment de cela, les êtres humains restent indispensables. Mais pour réussir, il a besoin de technologies modernes.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de