Dans la partie 1 de ce court article, nous avons demandé à Mark Wojtasiak, vice-président de la stratégie d’objets chez Vectra AI, comment la surface d’attaque des cybercriminels était considérablement différente dans les environnements multicloud à monocloud ou non environnements cloud, et comment les entreprises pouvaient s’en sortir face à des adversaires qui disposaient de bien d’autres moyens de les attaquer dans ces environnements plus récents. Dans la partie 2, nous avons demandé à Mark d’expliquer en particulier la fonction que l’IA pourrait jouer pour aider cette bataille contre les assaillants multicloud.
THQ :
Vous avez déclaré que l’IA pourrait libérer des analystes humains pour se concentrer sur d’énormes attaques dans l’environnement multicloud. Comment peut-il faire cela ?
La philosophie de plus
MW :
L’IA peut aider en automatisant les tâches manuelles ordinaires hors du flux de travail de l’analyste. Aujourd’hui, les experts s’occupent de l’épuisement professionnel de routine, et il n’y en a pas assez dans le monde pour surveiller suffisamment toutes les énormes menaces et les petits dangers qui existent. L’une des choses cruciales que nous devons adopter est l’exigence de recadrer et de rationaliser la façon dont nous examinons ces problèmes, car tenter de « faire plus avec plus » n’est tout simplement pas viable.
Pensez-y. Il y a un certain nombre d’attaquants dans le monde, et ils sont tous relativement intelligents dans ce qu’ils font et extrêmement inspirés. Si nous essayons de faire correspondre plus d’assaillants avec plus de travail pour les analystes, tout ce que nous allons faire est de stresser plus rapidement plus d’experts, ce qui finira par rendre plus de systèmes vulnérables aux attaques.
THQ :
Et c’est comme ça qu’on perd une guerre de l’information.
MW :
Exactement. Donc, ce que nous devons faire, c’est recadrer et simplifier, et en fait réduire la quantité de travail banal sur les épaules des experts. C’est là que l’IA peut être disponible.
L’IA peut effectuer la surveillance ordinaire. Il peut suivre les comportements des utilisateurs par rapport à des modèles d’habitudes de danger compris, et il peut signaler les habitudes aux experts quand et juste quand cela semble devenir quelque chose de dangereux. Les experts peuvent intervenir et faire ce que les humains font de mieux – la pensée critique – et peuvent utiliser toutes les informations facilement disponibles sur le comportement d’un envahisseur ou d’un agresseur spécifique, soit pour les faire passer dans les allées électroniques et hors du système, soit simplement expulsez-les si le danger est imminent. En utilisant l’IA comme innovation sous-jacente, nous pouvons maximiser les analystes pour effectuer le travail humain essentiel, réduire l’épuisement professionnel des analystes et développer une collaboration IA-humain qui est idéalement bien meilleure que la somme de ses parties. Évidemment, cela implique une obligation partagée entre le côté système expert de la formule et les analystes humains inclus, et la question est de savoir si l’IA peut vraiment le faire à grande échelle et à la vitesse d’une attaque.
Et ce que nous avons réellement découvert, c’est qu’il peut.
Cœur et esprit
THQ :
Y a-t-il une bataille pour les cœurs et les esprits pour obtenir ce genre de partage responsabilité sur place ?
MW :
Oui, je pense que oui. J’ai demandé aux responsables de la sécurité, aux professionnels et à l’architecte quel mot résume la photo de la sécurité – et c’est « Plus ». Tout est à propos de plus, il y a plus de surface d’attaque, il y a plus d’agresseurs incroyablement insaisissables, il y a plus d’innovation, il y a plus d’outils. Donc, vous devez en fait écrire plus de directives, vous devez pomper plus d’informations dans une simulation, vous devez faire plus d’analyses, vous devez en faire plus. C’est constamment plus.
Et je pense que, fondamentalement, toute cette technique consistant à en faire plus ne fait qu’aggraver le problème, le rendant plus difficile, et produisant l’épuisement professionnel, et ainsi de suite. Alors, comment apporter fondamentalement plus à l’organisation, mais en faisant moins ?
THQ :
Certainement ?
MW :
C’est un énorme obstacle que rencontrent, je crois, un grand nombre de RSSI, et vous le voyez dans des préoccupations telles que « Comment rapportons-nous au conseil d’administration ? Comment parlons-nous de la cybersécurité à la suite C et aux personnes non chargées de la sécurité ? »
Et je pense que tout doit être basé sur le risque. Ce qui est similaire à tout étant basé sur les résultats. Quel est le résultat ultime que nous voulons ici ?
THQ :
Lutter contre plus d’agresseurs, avec moins d’épuisement humain ?
MW :
Exactement. Et être un protecteur de nos jours est difficile. C’est extrêmement difficile et c’est de pire en pire à cause de tout ce « plus » dynamique, donc en tant que partenaire technologique, il y a certaines choses que nous devons faire. Comment aidez-vous les organisations à devenir plus résilientes face aux attaques dans un monde hybride ou multicloud ?
Cela revient à ces deux préoccupations : où sont-ils exposés ? Et où sommes-nous compromis en ce moment ? Si nous pouvons répondre à ces questions, nous pouvons résister à ces attaques au fur et à mesure qu’elles se développent. Deuxièmement, comment les aidez-vous à être plus efficaces ? Comment les aidez-vous à faire plus avec moins ?
Aider les analystes à devenir des héros
Et la troisième question est de savoir où le résultat est ancré dans l’efficacité ? Les experts veulent juste travailler à leur travail, ils souhaitent juste entrer, ils ont besoin de savoir sur quoi ils doivent se concentrer. Ils ne souhaitent pas effectuer des tâches manuelles ordinaires au quotidien, comme le triage des notifications ou la préservation des directives, ou quoi que ce soit, ils veulent simplement sauvegarder. Alors, comment commencer ? Comment aider un expert à protéger avec succès son organisation dans un monde multicloud hybride ? Notre entreprise pense que si vous retirez toutes ces choses ordinaires de leur quotidien et que vous laissez l’IA s’en occuper, vous les libérez autant que la pensée critique qui leur permet de penser comme un agresseur, et ainsi de vaincre les agresseurs qui sont là-bas, essayant d’entrer.
C’est comme ça que nous procédons : nous développons le système d’IA qui peut garder un œil sur les habitudes d’attaque, gérer le triage et la signalisation au jour le jour, afin que les analystes est complémentaire pour être un expert, et ne s’épuise pas avec toute la pression constante pour « faire plus ». Nous les laissons faire moins, mais plus efficacement. Nous leur laissons découvrir leur chance d’ajouter de la valeur à l’entreprise en tant qu’experts, au lieu d’être des chiens de garde glorifiés. »
Cela implique également qu’ils peuvent faire évoluer leur propre apprentissage au fur et à mesure, et les réinjecter dans une procédure simplificatrice, en introduisant les meilleures pratiques dans leurs pairs – et les processus. »
THQ :
Cela ressemble à une lutte financière difficile – persuader le conseil d’administration qu’ils ont besoin d’investir davantage pour laisser leurs analystes en faire moins, alors que le nombre et le paysage d’attaques des risques multicloud ne font qu’augmenter ?
MW :
En discuter avec le CISO, ou quel que soit celui qui détient le budget, c’est là que le processus s’effondre actuellement, oui. La description de « Voici où nous avons des retards, nous devons donc investir ici, que ce soit dans le processus, que ce soit dans les individus, que ce soit dans la technologie, quoi que ce soit » semble encore souvent être l’effort. Mais si nous avons la capacité de faire notre travail, si nous pouvons aider les experts à aider les entreprises à être durables dans un environnement multicloud, je pense que nous pouvons renverser la situation. Je pense que nous pouvons aller de l’avant et laisser les experts être les héros qu’ils peuvent être lorsqu’ils ne sont pas surchargés du point de vue « faire plus ». Si nous ne le faisons pas, nous verrons simplement de plus en plus d’analystes s’épuiser.
Ce qui ne profite à personne sauf aux ennemis.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
