Suivez nous sur

Des leaders d'opinion

L'avenir de la cybersécurité : IA, automatisation et facteur humain

mm
Le kit de préparation mis à jour on

Au cours de la dernière décennie, parallèlement à la croissance explosive des technologies de l'information, le sombre réalité des menaces de cybersécurité a également évolué de façon spectaculaire. Les cyberattaques, autrefois menées principalement par des pirates malveillants en quête de notoriété ou de gains financiers, sont devenues beaucoup plus sophistiquées et ciblées. De l’espionnage d’État au vol d’identité et d’entreprise, les motivations derrière la cybercriminalité sont de plus en plus sinistres et dangereuses. Même si le gain monétaire reste une raison importante de la cybercriminalité, il a été éclipsé par des objectifs plus néfastes consistant à voler des données et des actifs critiques. Les cyberattaquants exploitent largement les technologies de pointe, notamment l’intelligence artificielle, pour infiltrer les systèmes et mener des activités malveillantes. Aux États-Unis, le Federal Bureau of Investigation (FBI) rapporté plus de 800,000 2022 plaintes liées à la cybercriminalité ont été déposées en 10, avec des pertes totales dépassant 2021 milliards de dollars, écrasant le total de 6.9 ​​milliards de dollars de XNUMX, selon l'Internet Crime Complaint Center du bureau.

Face à l’évolution rapide du paysage des menaces, il est temps pour les organisations d’adopter une approche multidimensionnelle de la cybersécurité. L’approche doit consister à déterminer comment les attaquants accèdent à l’accès ; empêcher un compromis initial ; détecter rapidement les incursions ; et permettre une réponse et des mesures correctives rapides. La protection des actifs numériques nécessite d’exploiter la puissance de l’IA et de l’automatisation tout en garantissant que des analystes humains qualifiés restent partie intégrante de la posture de sécurité.

La protection d’une organisation nécessite une stratégie à plusieurs niveaux qui prend en compte les divers points d’entrée et vecteurs d’attaque employés par les adversaires. D'une manière générale, ces attaques se répartissent en quatre catégories principales : 1) attaques sur le Web et les réseaux ; 2) Comportement des utilisateurs et attaques basées sur l'identité ; 3) Attaques d’entité ciblant les environnements cloud et hybrides ; et 4) les logiciels malveillants, notamment les ransomwares, les menaces persistantes avancées et autres codes malveillants.

Tirer parti de l’IA et de l’automatisation

Le déploiement de modèles d’IA et d’apprentissage automatique (ML) adaptés à chacune de ces classes d’attaques est essentiel pour une détection et une prévention proactives des menaces. Pour les attaques Web et réseau, les modèles doivent identifier en temps réel les menaces telles que le phishing, l'exploitation du navigateur et les attaques par déni de service distribué (DDoS). L'analyse du comportement des utilisateurs et des entités tirant parti de l'IA peut détecter des activités anormales indiquant une compromission de compte ou une mauvaise utilisation des ressources et des données du système. Enfin, l’analyse des logiciels malveillants basée sur l’IA peut rapidement trier les nouvelles souches, identifier les comportements malveillants et atténuer l’impact des menaces basées sur les fichiers. En mettant en œuvre des modèles d’IA et de ML sur tout ce spectre de surfaces d’attaque, les organisations peuvent améliorer considérablement leur capacité à identifier de manière autonome les attaques dès les premiers stades avant qu’elles ne dégénèrent en incidents à part entière.

Une fois que les modèles d’IA/ML ont identifié les activités de menace potentielles sur divers vecteurs d’attaque, les organisations sont confrontées à un autre défi majeur : donner un sens aux alertes fréquentes et séparer les incidents critiques du bruit. Avec autant de points de données et de détections générés, il devient crucial d’appliquer une autre couche d’IA/ML pour corréler et hiérarchiser les alertes les plus graves qui justifient une enquête et une réponse plus approfondies. La lassitude face aux alertes est un problème de plus en plus critique qui doit être résolu.

L'IA peut jouer un rôle central dans ce processus de tri des alertes en ingérant et en analysant de grands volumes de données télémétriques de sécurité, en fusionnant les informations provenant de plusieurs sources de détection, y compris les renseignements sur les menaces, et en ne faisant apparaître que les incidents les plus fidèles pour y répondre. Cela réduit le fardeau des analystes humains, qui autrement seraient inondés de faux positifs généralisés et d'alertes de faible fidélité sans contexte adéquat pour déterminer la gravité et les prochaines étapes.

Bien que les acteurs malveillants aient activement déployé l’IA pour alimenter des attaques telles que le DDoS, le phishing ciblé et les ransomwares, le côté défensif a pris du retard dans l’adoption de l’IA. Cependant, la situation évolue rapidement à mesure que les fournisseurs de sécurité s’efforcent de développer des modèles avancés d’IA/ML capables de détecter et de bloquer ces menaces alimentées par l’IA.

L’avenir de l’IA défensive réside dans le déploiement de petits modèles de langage spécialisés adaptés à des types d’attaques et des cas d’utilisation spécifiques plutôt que de s’appuyer uniquement sur de grands modèles d’IA génératifs. En revanche, les grands modèles de langage s'avèrent plus prometteurs pour les opérations de cybersécurité telles que l'automatisation des fonctions d'assistance, la récupération de procédures opérationnelles standard et l'assistance aux analystes humains. Le gros du travail de détection et de prévention précises des menaces sera mieux géré par les petits modèles d’IA/ML hautement spécialisés.

Le rôle de l'expertise humaine

Il est crucial d’utiliser l’IA/ML parallèlement à l’automatisation des processus pour permettre une correction et un confinement rapides des menaces vérifiées. À ce stade, dotés d'incidents de haute confiance, les systèmes d'IA peuvent lancer des réponses automatisées adaptées à chaque type d'attaque spécifique : bloquer les adresses IP malveillantes [protocole Internet], isoler les hôtes compromis, appliquer des politiques adaptatives, etc. Cependant, l’expertise humaine reste essentielle, validant les résultats de l’IA, appliquant une pensée critique et supervisant les actions de réponse autonomes pour assurer la protection sans interruption des activités.

Une compréhension nuancée est ce que les humains apportent à la table. En outre, l'analyse des menaces de logiciels malveillants nouvelles et complexes nécessite de la créativité et des compétences en résolution de problèmes qui peuvent être hors de portée des machines.

L’expertise humaine est essentielle dans plusieurs domaines clés :

  • Validation et contextualisation : les systèmes d'IA, malgré leur sophistication, peuvent parfois générer des faux positifs ou mal interpréter les données. Des analystes humains sont nécessaires pour valider les résultats de l’IA et fournir le contexte nécessaire que l’IA pourrait négliger. Cela garantit que les réponses sont appropriées et proportionnées à la menace réelle.
  • Enquête sur les menaces complexes : certaines menaces sont trop complexes pour que l’IA puisse les gérer seule. Les experts humains peuvent approfondir ces incidents, en utilisant leur expérience et leur intuition pour découvrir les aspects cachés de la menace que l’IA pourrait ignorer. Cette connaissance humaine est essentielle pour comprendre toute la portée des attaques sophistiquées et concevoir des contre-mesures efficaces.
  • Prise de décision stratégique : Même si l’IA peut gérer des tâches de routine et le traitement des données, les décisions stratégiques concernant la posture globale de sécurité et les stratégies de défense à long terme nécessitent un jugement humain. Les experts peuvent interpréter les informations générées par l’IA pour prendre des décisions éclairées concernant l’allocation des ressources, les changements de politique et les initiatives stratégiques.
  • Amélioration continue : les analystes humains contribuent à l'amélioration continue des systèmes d'IA en fournissant des commentaires et des données de formation. Leurs connaissances aident à affiner les algorithmes d’IA, les rendant ainsi plus précis et efficaces au fil du temps. Cette relation symbiotique entre l’expertise humaine et l’IA garantit que les deux évoluent ensemble pour faire face aux menaces émergentes.

Teaming homme-machine optimisé

À la base de cette transition se trouve le besoin de systèmes d’IA capables d’apprendre à partir des données historiques (enseignement supervisé) et s'adapter en permanence pour détecter de nouvelles attaques grâce à des approches d'apprentissage non supervisé/par renforcement. La combinaison de ces méthodes sera essentielle pour garder une longueur d’avance sur les capacités évolutives de l’IA des attaquants.

Dans l’ensemble, l’IA sera cruciale pour permettre aux défenseurs d’étendre leurs capacités de détection et de réponse. L’expertise humaine doit rester étroitement intégrée pour enquêter sur les menaces complexes, auditer les résultats du système d’IA et guider les stratégies défensives stratégiques. Un modèle d’équipe homme-machine optimisé est idéal pour l’avenir.

À mesure que d’énormes volumes de données de sécurité s’accumulent au fil du temps, les organisations peuvent appliquer l’analyse de l’IA à ce trésor de télémétrie pour en tirer des informations permettant une chasse proactive aux menaces et le renforcement des défenses. L'apprentissage continu des incidents précédents permet une modélisation prédictive de nouveaux modèles d'attaque. À mesure que les capacités de l’IA progressent, le rôle des modèles de langage petits et spécialisés adaptés à des cas d’utilisation de sécurité spécifiques va croître. Ces modèles peuvent contribuer à réduire davantage la « lassitude face aux alertes » en triant précisément les alertes les plus essentielles pour l'analyse humaine. La réponse autonome, alimentée par l’IA, peut également s’étendre pour gérer davantage de tâches de sécurité de niveau 1.

Toutefois, le jugement humain et la pensée critique resteront indispensables, notamment pour les incidents de grande gravité. Sans aucun doute, l’avenir est celui d’une équipe homme-machine optimisée, où l’IA gère le traitement de données volumineuses et les tâches de routine, permettant aux experts humains de se concentrer sur l’enquête sur les menaces complexes et la stratégie de sécurité de haut niveau.

Anand Naik, co-fondateur et PDG, Séquretek, a travaillé dans le monde de l'entreprise pendant plus de 25 ans avec des sociétés telles que Symantec où il était directeur général pour l'Asie du Sud, et auparavant avec IBM et Sun Microsystems dans des rôles technologiques.

Anand est un expert en cybersécurité. Il a travaillé avec plusieurs géants mondiaux pour les aider à définir leur stratégie, leur architecture et leurs modèles d'exécution en matière de sécurité informatique. Il fait partie des principaux leaders d'opinion en matière de cybersécurité et a participé à divers programmes politiques avec le gouvernement indien et d'autres organismes industriels. Il est responsable de la vision et des opérations des produits chez Sequretek.