Automatisation de la sécurité informatique

Progrès de l’IA

Les décideurs en matière de cybersécurité sont les plus préoccupés par les systèmes ou les interruptions d’activité, la propriété intellectuelle ou le vol de données, et les dommages à la réputation, mais l’aide est là grâce aux progrès de l’IA.

Lee Howells de PA Consulting, expert en IA et en automatisation, et Yannis Kalfoglou, expert en IA et en blockchain, estiment que l’utilisation et les capacités de l’IA pour attaquer les organisations sont de plus en plus sophistiquées.

Dans un récent article de Computer Weekly, Howells et Kalfoglou ont suggéré que les cybercriminels profiteraient inévitablement de l’IA, et une telle mesure augmenterait les menaces à la sécurité numérique et le volume et la sophistication des cyberattaques.

« L’IA offre de multiples opportunités pour les cyberattaques – du banal, comme l’augmentation de la vitesse et du volume des attaques, aux sophistiqués, tels que rendre l’attribution et la détection plus difficiles, se faire passer pour des utilisateurs de confiance et des faux profonds », ont-ils écrit.

Un exemple d’attaque simple mais élégante basée sur l’IA est l’hameçonnage et la reconnaissance automatisés des médias sociaux (SNAP_R) de Seymour et Tully. Cette preuve de concept créée par les chercheurs en sécurité automatise la création de faux tweets avec des liens malveillants.

Attaques sur mesure

Selon Howells et Kalfoglou, la capacité de l’IA à analyser de grandes quantités de données au rythme signifie que bon nombre de ces attaques sont susceptibles d’être adaptées à une organisation spécifique.

Le couple a averti que ce genre de cyberattaques hautement sophistiquées, exécutées par des réseaux criminels professionnels tirant parti de l’IA et de l’apprentissage automatique, permettront de monter des attaques à une vitesse et une rigueur qui submergeront les capacités de sécurité informatique d’une organisation.

L’automatisation de la sécurité compatible avec l’IA a le potentiel de lutter contre les activités malveillantes alimentées par l’IA. Par exemple, Howells et Kalfoglou ont déclaré qu’une organisation pourrait utiliser des analyses axées sur le comportement, déployant la capacité inégalée d’appariement des modèles de l’apprentissage automatique.

« En supposant que les consentements appropriés en matière d’accès aux données soient en place, l’abondance des données sur le comportement des utilisateurs disponibles à partir du streaming, des appareils et de l’infrastructure informatique traditionnelle donne aux organisations une image sophistiquée du comportement des gens », ont-ils écrit.

Pour Howells et Kalfoglou, les données comportementales des utilisateurs peuvent être analysées pour aider les organisations à déterminer quel appareil est utilisé à un moment donné (par exemple, iPad à 22 heures), quelle activité l’utilisateur fait habituellement à ce moment-là (comme le traitement des e-mails à 22 heures), qui est l’utilisateur avec qui ils interagissent (par exemple, pas d’appels vidéo après 22 heures en raison de la politique de sécurité) et quelles données sont consultées (par exemple , pour arrêter l’accès au lecteur partagé après 22h).

Ils ajoutent que ces données comportementales peuvent être construites, conservées et mises à jour en temps réel par un système d’apprentissage automatique bien formé. Toute déviation détectée par rapport au schéma normal sera analysée et déclenchera une alerte qui pourrait conduire au déploiement de mécanismes de cyberdéfense.

Coût d’une violation de données

IBM 2019 Coût d’une violation de données rapport a examiné la relation entre le coût des atteintes de données et l’état de l’automatisation de la sécurité au sein des entreprises qui déploient ou ne déploient pas de méthodes et de technologies de sécurité automatisées.

Ces technologies de sécurité visent à accroître ou à remplacer l’intervention humaine dans l’identification et le confinement des cyberexploités ou des violations et dépendent de l’artificeial intelligence, apprentissage automatique, analyse et orchestration de réponse aux incidents.

La disposition des systèmes qui automatisent la détection et la réponse à des activités malveillantes nie la nécessité d’une enquête axée sur l’homme. Les recherches d’IBM ont révélé que plus de la moitié (52 %) des entreprises étudiées avaient l’automatisation de la sécurité partiellement ou entièrement déployée. Le coût total moyen d’une violation de données était 95 % plus élevé dans les organisations sans que l’automatisation de la sécurité ne soit déployée.

IBM a indiqué que le coût total moyen d’une violation de données était de 2,65 millions de dollars pour les organisations qui ont entièrement déployé l’automatisation de la sécurité. Le coût d’une violation de données dans les organisations qui n’ont pas déployé l’automatisation était de 5,16 millions de dollars, soit quelque 2,51 millions de dollars de plus.

Ivana Bartoletti, directrice technique du cyber-risque chez Deloitte et fondatrice de Women Leading in AI, explique que l’IA peut être déployée dans la formation d’un système pour identifier même les plus petits comportements d’attaques ransomware et de logiciels malveillants avant qu’il n’entre dans le système et les isoler ensuite de ce système. Elle dit que l’IA peut également être utilisée pour automatiser le phishing et la détection des vols de données, qui sont extrêmement utiles car ils impliquent une réponse en temps réel.

Lier l’IA et les opérations pour lutter contre les cybermenaces

Les professionnels de la sécurité adoptent des outils d’information de sécurité et de gestion d’événements (Siem) pour leur permettre d’adopter une approche holistique de la surveillance de la sécurité informatique. Selon les prévisions de MarketsandMarkets, la taille du marché mondial siem devrait croître de 5,5 % par an pour atteindre 5,5 milliards de dollars d’ici 2025. Mais toutes les organisations ne peuvent pas justifier le déploiement d’un système Siem complet.

Logiquement, l’utilisation de l’IA pour chaluter des masses de données pour identifier les menaces n’est pas différente des techniques utilisées dans AIOps, où les journaux de serveur, de réseau et d’applications sont analysés. Selon l’analyste Gartner, AIOps est principalement utilisé pour prendre en charge les processus d’opérations informatiques qui permettent la surveillance ou l’observation de l’infrastructure informatique, du comportement des applications ou de l’expérience numérique.

« resque toujours, les investissements de la plate-forme AIOps ont été justifiés sur la base de leur capacité à diminuer le temps moyen à la résolution des problèmes et la réduction des coûts qui en résulten », explique le cabinet d’analystes.

Les analystes de Gartner ont écrit dans le guide de marché de la société pour les plates-formes AIOps que les avantages d’AIOps comprennent la réduction des volumes d’événements et des fausses alarmes. Se laisser submerger de faux positifs est un casse-tête majeur pour la sécurité informatique, conduisant à bloquer les activités légitimes. Comme le montre l’exemple de l’iPad de Howells et Kalfoglou, l’IA peut comprendre ce qui constitue un « comportement normal de l’utilisateur ».

AIOps peut en outre détecter des valeurs anormales dans les données des séries temporelles. Cela va au-delà de la simple « onc » lorsque l’iPad a été utilisé pour essayer d’accéder aux données partagées après 22 heures, contre la politique de l’entreprise.

Au lieu de cela, l’IA peut découvrir le sens dans les données cachées et prédire un résultat, et de telles prédictions pourraient montrer des problèmes professionnels de la sécurité bien avant une violation de la politique de données est signalé.

L’IA peut également effectuer l’analyse des causes profondes à l’aide d’une instrumentation de bytecode ou de données de traçage distribuées ainsi que l’analyse graphique, pour comprendre pourquoi une violation de données s’est produite.

Toutefois, Bartoletti de Deloitte prévient que la dépendance excessive à l’égard de l’IA pose un autre problème. « À mesure que l’IA s’améliore dans la protection des actifs, elle améliore également leur attaque », dit-elle. « Alors que les technologies de pointe sont appliquées pour améliorer la sécurité, les cybercriminels utilisent les mêmes innovations pour prendre un avantage sur elles. Les attaques typiques impliquent la collecte d’informations sur le système ou le sabotage d’un système d’IA en l’inondant de demandes. L’IA peut accroître la cybersécurité tant que les organisations connaissent ses limites et disposent d’une stratégie claire axée sur le présent tout en regardant constamment l’évolution du paysage des menaces.

Alors que le jeu entre les professionnels de la sécurité informatique et les pirates s’intensifie, la bataille se déplacera inévitablement vers les cyberattaques et les cyberdéfenses alimentées par l’IA. La question devient alors, dont l’IA est plus rapide et plus intelligente? Qui gagne: le chat ou la souris?