Comment la sécurité de l’IA améliore la détection et l’analyse des cybermenaces sophistiquées d’aujourd’hui

Les algorithmes d’IA peuvent également automatiser de nombreuses tâches fastidieuses et longues emplois dans la cybersécurité, maximisant les analystes humains pour se concentrer sur des tâches plus complexes et essentielles. Cela peut améliorer l’efficacité et l’efficience globales des opérations de sécurité. De plus, les algorithmes ML peuvent automatiquement découvrir et évaluer les problèmes de sécurité. Certains peuvent même réagir instantanément aux risques. De nombreux outils de sécurité modernes, tels que les renseignements sur les dangers, la détection des anomalies et la détection des fraudes, utilisent actuellement le ML.

Dick O’Brien, analyste principal du renseignement au sein du groupe de chasseurs de risques de Symantec, a déclaré que l’IA joue aujourd’hui un rôle considérable dans la cybersécurité et est fondamentale pour résoudre les obstacles essentiels à la sécurité.

« Nous voyons des ennemis déployer des logiciels légitimes à des fins malveillantes ou ‘vivre de la terre’ – en utilisant des outils actuellement sur le réseau de la cible à leurs propres fins », a déclaré O’Brien. « Reconnaître les fichiers malveillants ne suffit plus. Au lieu de cela, nous devons maintenant être en mesure d’identifier les schémas d’habitudes destructrices, c’est là que l’IA entre en jeu. »

Il a déclaré qu’en examinant et en modifiant manuellement la politique pour chaque entreprise n’évolue pas et les politiques qui respectent le plus petit dénominateur de base laissent les organisations en danger.

« L’utilisation de l’IA pour la sécurité adaptative permet aux organisations d’ajuster et de façonner les politiques de cybersécurité spécifiques à chaque entreprise », a-t-il déclaré. « Nous pensons qu’une innovation de détection des habitudes basée sur l’IA doit être un élément clé dans la pile de toute entreprise ayant une posture de sécurité pleinement développée. »

Il existe un certain nombre d’algorithmes de ML qui peuvent aider à développer une norme pour la détection et l’analyse des dangers en temps réel :

• Régression : découvre les connexions entre divers ensembles de données pour comprendre leur relation. La régression peut anticiper les appels du système d’exploitation et découvrir les irrégularités en comparant la projection à un appel système réel.

• Cluster : cette méthode permet de reconnaître les ressemblances entre les ensembles de données et les regroupe en fonction de leurs fonctions standard. Le clustering fonctionne directement sur de nouvelles données sans tenir compte des exemples ou des données historiques.

• Catégorie : les algorithmes de catégorie tirent parti des observations historiques et essaient d’appliquer ce qu’ils trouvent à de nouvelles informations inédites. L’approche par catégorie consiste à prendre des artefacts et à les classer sous l’une des nombreuses étiquettes. Par exemple, classer un fichier sous plusieurs classifications telles qu’une application logicielle authentique, un logiciel publicitaire, un logiciel de rançon ou un logiciel espion.

« La surface d’attaque et la sophistication d’aujourd’hui ont en fait atteint un point tel que l’IA est désormais essentielle pour gérer l’énorme quantité de données, la complexité informatique et la pénurie de main-d’œuvre chargée des groupes de sécurité. Pour que l’IA prospère dans le domaine de la sécurité, elle doit également être explicable, objective et fiable pour cette défense, ce qui permet aux analystes de sécurité d’exploiter davantage le SOC efficacement », a déclaré Sridhar Muppidi, IBM Fellow et CTO chez IBM Security.

Muppidi a déclaré que l’inculcation de l’IA pourrait aider les entreprises à détecter et à contrer ces attaques sophistiquées et ciblées et à ne pas s’appuyer exclusivement sur l’authentification standard à un facteur ou à deux facteurs.

« Comportement basé sur l’IA la biométrie peut aider à vérifier l’utilisateur en fonction de méthodes telles que les frappes au clavier, le temps passé sur une page, la navigation de l’utilisateur ou le mouvement de la souris.L’IA peut aider les entreprises à passer de la reconnaissance statique de l’utilisateur à des mécanismes d’authentification plus dynamiques basés sur les risques pour faire face à la fraude en ligne à croissance rapide,  » il a dit.

Défis de sécurité dans les architectures de sécurité standard

Traditionnellement, les outils de sécurité utilisent simplement des signatures ou des indications d’attaque pour déterminer les menaces. Cependant, alors que cette stratégie peut rapidement identifier les dangers découverts précédemment, les outils basés sur les signatures ne peuvent pas identifier les menaces qui n’ont pas encore été trouvées. Les méthodes conventionnelles de gestion des vulnérabilités réagissent aux événements juste après que les pirates ont effectivement déjà utilisé la vulnérabilité ; les entreprises ont besoin d’aide pour gérer et se concentrer sur les nombreuses nouvelles vulnérabilités qu’elles rencontrent chaque jour.

Étant donné que de nombreuses entreprises exigent une convention de dénomination précise pour les applications et les charges de travail, les équipes de sécurité doivent passer une grande partie de leur temps à identifier quel ensemble de tâches provient d’une application donnée. L’IA peut améliorer la sécurité du réseau en découvrant les modèles de trafic réseau et en suggérant des politiques de sécurité et un regroupement fonctionnel de la charge de travail.

Allie Mellen, expert senior chez Forrester, déclare que la difficulté la plus importante pour les groupes de sécurité utilisant les technologies de sécurité existantes est qu’ils ont besoin privilégier l’expérience d’analyste.

« Les innovations en matière de sécurité ne traitent pas efficacement le flux de travail normal des analystes en sécurité, de la détection à l’examen en passant par l’action, ce qui les rend difficiles à utiliser et désavantage les analystes en sécurité », a déclaré Mellen. « En particulier, les technologies de sécurité ne sont pas conçues pour permettre l’examen : elles se concentrent fortement sur la détection, ce qui laisse les experts investir des quantités incroyables de temps dans une enquête qui pourrait être meilleure dans d’autres domaines. »

« Les systèmes de cybersécurité conventionnels reposent souvent uniquement sur des méthodes basées sur la signature et la réputation », a déclaré Adrien Gendre, responsable principal des technologies et des produits et cofondateur de Vade. « Les pirates

modernes sont en fait devenus plus sophistiqués et peuvent naviguer dans les filtres conventionnels de plusieurs manières, telles que l’usurpation de nom d’écran et l’obscurcissement des URL. Grâce à l’IA, une tendance identifiée dans une partie du monde peut être signalée et atténuée avant il fait toujours son chemin vers une autre partie du monde en analysant les modèles, les tendances et les anomalies. »

La sécurité de l’IA change la détection et la réponse aux risques

L’une des applications les plus efficaces du ML dans la cybersécurité est la détection de modèles sophistiquée. Les cyberattaquants se dissimulent régulièrement dans les réseaux et empêchent la découverte en cryptant leurs interactions, en utilisant des mots de passe volés et en supprimant ou en modifiant des enregistrements. Cependant, un programme ML qui identifie une activité anormale peut les prendre sur le fait. Étant donné que le ML est beaucoup plus rapide qu’un analyste de la sécurité humaine pour trouver des modèles de données, il peut découvrir des mouvements que les méthodologies traditionnelles passent à côté.

Par exemple, en examinant en permanence les informations sur le réseau pour détecter les variations, un ML La conception peut trouver des schémas dangereux dans la fréquence de transmission des e-mails qui pourraient entraîner l’utilisation des e-mails pour une attaque sortante. Le ML peut s’adapter de manière dynamique aux modifications en prenant de nouvelles données et en répondant à des scénarios changeants.

Ed Bowen, directeur de la gestion des risques cybernétiques et tactiques chez Deloitte, pense que l’IA fonctionne en conjonction avec une excellente cyberhygiène essentielle, telle que le réseau segmentation, pour isoler les détails du point de vente et les PII.

« L’IA peut aider à augmenter le suivi du réseau de chaque secteur pour détecter les signes de mouvement latéral et les risques constants avancés », a déclaré Bowen. « En outre, la connaissance de l’assistance basée sur l’IA peut être utilisée comme un » groupe rouge « pour pénétrer les réseaux à la recherche de vulnérabilités pouvant être renforcées afin de réduire les opportunités de violation. »

Bowen a également déclaré que l’IA pilotée l’analyse comportementale pourrait s’avérer très utile dans la gestion des identités.

« La conservation des données sur les habitudes des utilisateurs, puis l’utilisation de la reconnaissance des formes pour reconnaître les activités à haut risque sur le réseau produisent des signaux efficaces de détection des risques. Les organisations peuvent également utiliser la découverte approfondie pour déterminer l’activité anormale lorsque les ennemis analysent les possessions du réseau à la recherche de vulnérabilités », a-t-il déclaré. « Mais, l’architecture de la ou des cyberplates-formes doit être bien créée et conservée pour que l’IA puisse être appliquée efficacement. »

Katherine Wood, scientifique principale de l’information chez Signifyd, a déclaré que l’analyse comportementale basée sur l’IA et la détection des anomalies les innovations pourraient être une solution fiable pour correspondre à la vitesse et à l’échelle auxquelles les escroqueries automatiques se déroulent.

« Lorsqu’un fraudeur accède à un compte ou détermine des finances viables, les bots peuvent également être utilisés pour acheter en masse des objets de valeur à un rythme extrêmement rapide. Grâce à la détection basée sur l’IA et à la protection contre les escroqueries, les entreprises peuvent aujourd’hui rapidement atténuer ces menaces », a déclaré Wood. « Les solutions de sécurité contre la fraude les plus innovantes comptent désormais sur ML pour traiter d’innombrables signaux dans une transaction afin d’identifier et d’entraver rapidement les commandes frauduleuses et les attaques automatisées. De plus, la large visibilité de l’IA permet aux conceptions de sécurité d’identifier les changements inattendus dans les habitudes qui peuvent montrer la prise de contrôle de compte, un pic inhabituel de tentatives de connexion interrompues qui déclarent une attaque automatique de bourrage d’informations d’identification, ou une navigation et une acquisition incroyablement rapides qui montrent l’activité du bot. »

David Movshovitz, cofondateur et CTO de RevealSecurity, a un point de vue différent. Selon lui, l’analyse comportementale des utilisateurs et des entités a en fait échoué en raison des grandes différences significatives entre les applications. Pour cette raison, les conceptions ont été développées uniquement pour des situations de couche d’application minimale, comme dans le secteur financier (carte de paiement, lutte contre le blanchiment d’argent, etc.).

« Les solutions de détection basées sur des règles telles que la détection d’anomalies sont tristement gênantes car elles produisent divers faux positifs et faux négatifs, et elles ne s’adaptent pas à de nombreuses applications », a déclaré Movshovitz.

Il a encore plus décrit que le marché de la sécurité a adopté l’analyse statistique pour augmenter les services basés sur des règles dans le but de fournir une détection plus précise pour les installations et les couches d’accès. Ils n’ont pas réussi à fournir une précision significativement accrue et ont diminué les fausses alertes favorables qui étaient garanties, en raison d’une présomption fondamentalement incorrecte selon laquelle des quantités analytiques, telles que le nombre quotidien moyen d’activités, peuvent caractériser le comportement de l’utilisateur.

« Cette hypothèse erronée est développée dans des innovations d’analyse comportementale et de détection d’anomalies, qui identifient un utilisateur par une moyenne d’activités. En vérité, les gens n’ont pas de « comportements moyens », et il est donc inutile de tenter d’identifier les habitudes humaines avec des quantités telles que « typique », « écart de base » ou « médiane » d’une seule activité », a déclaré Movshovitz à VentureBeat.

Il a également déclaré que la découverte de ces violations consiste généralement à trier à la main des tonnes d’informations de journal provenant de nombreuses sources en cas de suspicion. « Cela fait de la détection et de la réaction des applications un énorme problème pour les entreprises, en particulier avec leurs applications de service de base. Aujourd’hui, les RSSI devraient plutôt se concentrer sur la découverte des nombreux profils d’activité typiques des utilisateurs. »

Commentant la même chose, Forrester’s Mellen a déclaré que la reconnaissance de l’efficacité de la détection pourrait être une option potentielle pour faire face à ces menaces d’IA et réduire les faux positifs.

« Parmi les façons fascinantes dont le ML est utilisé dans les outils de sécurité aujourd’hui, ce qui est rarement passé en revue, reste dans la validation de l’efficacité de la détection. Nous associons généralement le ML au repérage d’une attaque plutôt qu’à la validation de l’exactitude de cette détection », a déclaré Mellen. « La reconnaissance de l’efficacité de la détection peut non seulement aider à réduire les positifs incorrects, mais également être utilisée pour examiner les performances des analystes, qui, lorsqu’elles sont utilisées dans leur ensemble, peuvent aider les équipes de sécurité à comprendre comment des sources de journaux ou des procédures spécifiques fonctionnent bien et soutiennent l’expérience des experts. »

À quoi s’attendre de la sécurité basée sur l’IA en 2023

Bowen de Deloitte prédit que l’IA améliorera considérablement l’efficacité de la détection et l’optimisation du personnel. Cependant, il déclare également que les organisations qui cessent de travailler pour utiliser l’IA deviendront des cibles faciles pour les adversaires tirant parti de cette innovation.

« Les menaces qui ne peuvent pas être identifiées sur les piles standard aujourd’hui seront identifiées à l’aide de ces nouveaux outils, plates-formes et architectures. Lorsque cela sera possible, nous verrons davantage de conceptions AI / ML poussées à la périphérie pour prévenir, repérer et réagir de manière autonome », a-t-il déclaré. « La gestion des identités sera améliorée avec une bien meilleure conformité, ce qui conduira à une bien meilleure posture de protection pour les organisations de cybersécurité axées sur l’IA. Nous verrons des niveaux d’impact négatif plus élevés pour les organisations qui tardent à utiliser l’IA dans le cadre de leur vaste pile. »

« Les applications actuelles de l’IA dans la cybersécurité se concentrent sur ce que nous appelons » l’IA étroite « — former les conceptions sur un ensemble spécifique de données pour produire des résultats prédéfinis », a ajouté Muppidi d’IBM. « À l’avenir, et même dès 2023, nous voyons un grand potentiel pour l’utilisation de conceptions » larges d’IA « dans la cybersécurité – former une conception de grande structure sur un ensemble de données complet pour trouver plus rapidement de nouvelles menaces évasives. »

« Alors que les cybercriminels améliorent continuellement leurs méthodes, ces larges applications d’IA débloqueraient des cas d’utilisation de la sécurité plus prédictifs et proactifs, nous permettant de garder une longueur d’avance sur les agresseurs plutôt que de nous adapter aux stratégies existantes. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur