Les menaces de sécurité dépassant la capacité des analystes humains, il est temps d’exploiter la puissance et la vitesse de l’IA à détecter et contenir des cyberattaques.
Une cyberattaque sur une entreprise d’énergie basée au Royaume-Uni a utilisé l’IA pour imiter la voix du PDG et a incité un membre du personnel à transférer 243 000 $ à un faux compte en 2019. Une campagne de cyber-espionnage en 2021 a ciblé des sociétés de télécommunications internationales avec des e-mails de phishing générés par l’IA. Et l’année dernière, les pirates utilisant l’IA ont injecté de faux flux vidéo dans le processus de vérification biométrique de Crypto Exchange Bitfinex, se gagnant finalement 150 millions de dollars d’actifs numériques.
Les cyberattaques déployées avec l’IA ne sont de plus en plus sophistiquées et évasives à chaque jour qui passe.
La bonne nouvelle? La puissance de l’IA coupe dans les deux sens, et un nombre croissant d’entreprises explorent les opportunités de déploiement de l’IA (et de son sous-champ, de l’apprentissage automatique) dans leurs propres cyber-défenses – combattant le feu avec le feu, pourriez-vous dire.
Aujourd’hui, plus des deux tiers (69%) des entreprises pensent que l’IA est nécessaire à la cybersécurité car les menaces atteignent des niveaux au-delà de la capacité des cyber-analystes, selon Deloitte.
Bien que la prévalence de l’IA dans les programmes de cybersécurité en soit encore à sa petite enfance, les avantages potentiels sont clairs: l’IA a la capacité de traiter de grandes quantités de données, de reconnaître rapidement les modèles et de prendre des décisions éclairées, aidant les organisations à identifier les vulnérabilités et les menaces, à minimiser ou Éliminer les menaces et répondre plus rapidement, explique Maria Schwenger, coprésidente des initiatives de gouvernance et de conformité de l’IA à la Cloud Security Alliance (CSA). «L’IA – et le Genai – ne nous aident pas seulement à protéger la cybersécurité», dit-elle. «Ils nous aident à construire un nouveau monde résilient avec de nouveaux systèmes résilients.»
Alors que les organisations commencent à explorer les applications de l’IA dans les programmes de cybersécurité, les experts affirment que les domaines suivants sont très prometteurs.
1. Comment les outils de cybersécurité de l’IA amélioreront les tests de vulnérabilité
Les ingénieurs logiciels s’efforcent d’écrire du code sécurisé, mais parfois des erreurs se produisent. Ils pourraient introduire par inadvertance des vulnérabilités en utilisant une mauvaise gestion des erreurs ou ne pas valider les entrées utilisateur; Les systèmes complexes pourraient leur rendre difficile d’anticiper toutes les vulnérabilités de sécurité potentielles; ou les ingénieurs logiciels peuvent faire face à des délais serrés pour offrir rapidement de nouvelles fonctionnalités, conduisant à des raccourcis ou aux compromis dans la qualité et la sécurité du code.
«De plus», explique Nick Merrill, chercheur et directeur du Daylight Lab au UC Berkeley Center for à long terme de la cybersécurité, «les ingénieurs logiciels en savent étonnamment peu sur la sécurité et comment rechercher des vulnérabilités dans le logiciel qu’ils écrivent.»
Traditionnellement, lorsque des vulnérabilités sont signalées dans la nature, les développeurs sont responsables de la recherche des insectes et de les cordes. Cela peut être difficile et fastidieux, les obligeant à parcourir de nombreux fichiers et modules pour identifier la cause profonde d’un bogue, ou pour reproduire les conditions ou scénarios spécifiques pour comprendre le bogue et créer une solution.
Avec l’utilisation de l’IA, cependant, les organisations pourraient améliorer la vitesse et l’efficacité avec lesquelles ils peuvent détecter et résoudre les vulnérabilités potentielles dans le code, créant un environnement plus sûr, dit Merrill.
Les outils alimentés par AI pourraient, par exemple, par exemple à travers les bases de code pour identifier les vulnérabilités potentielles en analysant les modèles pour détecter les risques communs tels que les injections SQL et les scripts inter-sites. Les AIS pourraient également être formées sur de grands ensembles de données de vulnérabilités connues pour identifier des modèles similaires dans un nouveau code, révélant ainsi des vulnérabilités inconnues ou des exploits zéro-jours.
« Cela permet d’économiser du temps et des efforts, car les équipes de sécurité n’ont pas besoin de passer du temps rétroactivement une fois que quelque chose a été signalé dans la nature pour trouver le bug et le réparer », dit-il. «Permettre aux développeurs de résoudre des problèmes de sécurité serait une énorme victoire de nos jours.»
2. Comment les outils de cybersécurité de l’IA permettront de détecter la détection des menaces
L’identification des menaces de sécurité potentielles à un stade précoce aide à prévenir la perte de données et un accès non autorisé à la propriété intellectuelle et à protéger les actifs précieux qui composent les «joyaux de la couronne» d’une organisation. Cela aide les organisations à éviter les violations de données coûteuses, les pertes financières et les dommages de réputation.
Dans de nombreuses organisations, les analystes de sécurité sont responsables de la surveillance manuelle des journaux système, des journaux de trafic réseau et des journaux d’application pour une activité suspecte qui peut indiquer une violation de sécurité. Ce processus peut prendre du temps et une tendance sur les individus, dit Schwenger de CSA. «Il peut être difficile d’identifier rapidement les menaces, surtout si c’est une menace très sophistiquée qu’un œil humain peut manquer», dit-elle. «Avec les analystes humains, une personne ne peut traiter que tant de données, et il est facile de manquer certains modèles. Mais l’IA est vraiment bonne pour découvrir des modèles que nous pouvons manquer. »
Étant donné que l’IA peut analyser de grandes quantités de données, elle peut être utilisée pour établir une base de référence de comportement normal pour les systèmes, les réseaux et les utilisateurs. En détectant les écarts ou les anomalies, l’IA peut aider à identifier les menaces de sécurité potentielles, telles que les tentatives d’accès non autorisées, le trafic réseau inhabituel ou le comportement anormal des utilisateurs, dit Schwenger.
«Il s’agit d’une amélioration massive de l’analyse des menaces car elle peut découvrir ces paramètres cachés et ces anomalies cachées dans les données plus rapidement, ce qui pourrait avoir été manqué autrement», dit-elle. « Cela vous donne une évolutivité parce que vous automatez des tâches fastidieuses et obtenez des informations en temps réel que vous pouvez transmettre à vos ingénieurs de sécurité, ce qui vous aide à travailler plus rapidement et à être plus agile. »
3. Comment les outils de cybersécurité de l’IA accélèrent le confinement et la réponse des menaces
Lorsqu’une menace a été détectée ou qu’un incident de sécurité s’est produit, se déplacer rapidement pour rectifier la situation est crucial. «Il s’agit de vitesse en ce qui concerne les menaces, les compromis, les violations et les attaques de ransomwares», explique Adam Levin, auteur de Swiped: Comment vous protéger dans un monde rempli de fraudeurs, de phisrs et de voleurs d’identité, et co-animateur de la Ce que le podcast hack. «Vous devez être en mesure de vous déplacer le plus rapidement possible pour brancher le trou et arrêter le problème afin que vous puissiez commencer à travailler sur la solution. Plus vite vous pouvez contenir la menace, plus vous pouvez vous défendre rapidement. »
Les méthodes traditionnelles de confinement et de réponse des menaces reposent fortement sur l’intervention manuelle. Lorsqu’un incident de sécurité se produit, par exemple, les analystes doivent identifier manuellement les systèmes affectés, isoler les actifs compromis et mettre en œuvre des mesures de confinement. Les analystes de sécurité examineront manuellement les alertes de sécurité, les journaux et les données médico-légales pour comprendre la portée de l’incident, puis travailler pour corriger les systèmes ou réinitialiser les informations d’identification compromises. Ces processus prennent du temps et introduisent des opportunités d’erreur humaine, ce qui peut retarder encore les résolutions.
Avec l’IA, cependant, les algorithmes peuvent évaluer automatiquement la gravité et l’impact de la menace, identifier les actifs affectés, et même les actions de réponse orchestrées, dit Schwenger. Cela comprend un certain nombre de tâches de gestion des points de terminaison autonomes qui prennent en charge une meilleure sécurité des points de terminaison, y compris l’isolement des paramètres infectés, le blocage du trafic malveillant ou la désactivation des services compromis.
«Cela aide vraiment à soutenir vos équipes de sécurité à prendre des décisions éclairées et à répondre à un incident, car l’IA peut vous donner ces informations et faire des recommandations – cela élimine toutes les suppositions aveugles», dit-elle. «Et à l’avenir, il existe également un grand potentiel pour Genai, qui pourrait être utilisé pour générer des rapports et des résumés après un incident, préparer des réponses et aider les parties prenantes informées.»
Bien que le potentiel de l’IA dans la sécurité soit significatif, Schwenger note rapidement le besoin et la valeur durables des humains dans tout programme de sécurité. «L’IA est aussi bonne que les données sur lesquelles il est basé, formé et analysé. Rien ne peut remplacer l’expertise humaine et la surveillance, ce qui sera toujours nécessaire », dit-elle.
Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.
