Lors de sa conférence FAL.Con, le géant de la cybersécurité a lancé sa plate-forme de sécurité agentique et sa main-d’œuvre de sécurité agentique, visant à dépasser les adversaires dirigés par l’IA avec une intelligence en temps réel, une automatisation et un langage commun pour la défense.
Fin août, le géant de la cybersécurité Crowdstrike a annoncé qu’elle avait accepté d’acquérir la société de gestion de pipelines de télémétrie en temps réel ONUM pour 290 millions de dollars. La société a déclaré que l’acquisition transformerait le Centre d’opérations de sécurité (SOC) pour l’ère de l’IA de l’agence en turbocompressant les données et l’analyse en temps réel en renseignements sur les menaces en «millisecondes».
Aujourd’hui, lors de l’événement annuel FAL.Con annuel de Crowdsstrike à Las Vegas, la société enlève les deux initiatives qui visent à s’appuyer sur la plate-forme ONUM dans l’espoir d’aider les entreprises à créer et à maintenir des projets de cybersécurité de pointe qui utilisent l’IA d’agence.
La première initiative est sa plate-forme de sécurité agentique, un groupe d’innovations qui, selon la société, accélérera les réponses de sécurité en élargissant les capacités agentiques entre les actifs des utilisateurs. La deuxième initiative est la main-d’œuvre de sécurité agentique de Crowdsstrike, qui vise à éliminer les tâches répétitives pour que les analystes de la sécurité les libérent pour des activités plus stratégiques.
Prendre un paysage de menace propulsé par l’IA
Crowdsstrike, comme la plupart des grands fournisseurs de cybersécurité, plonge tête tête à la tête dans l’IA d’agence en tant qu’adoptante précoce pour sauter dans le train d’IA en avance rapide et exploiter les avantages de cette technologie perturbatrice et complexe. Mais il s’agit peut-être, plus important encore, d’essayer de contrer les acteurs qui embrassent rapidement diverses formes d’IA pour atteindre leurs fins malveillantes.
« Nous devons permettre aux défenseurs de fonctionner à grande échelle et plus rapidement pour pouvoir suivre le rythme de ces adversaires », a déclaré Adam Meyers, responsable des opérations de contre-adversaire chez Crowdsstrike, lors d’une conférence de presse. «Un bon exemple de ceci est le célèbre Chollima», le groupe d’acteurs de menace nord-coréens qui obtient des emplois informatiques éloignés pour générer des revenus pour le régime dirigeant du pays.
«Nous les avons vus utiliser une IA générative à chaque étape de la chaîne de mise à mort», a déclaré Meyers, expliquant que le groupe utilise les LLM et l’IA génératrice pour créer des profils et des CV LinkedIn, utilise la technologie DeepFake pour masquer les apparences de ses membres lors des entretiens et utilise une IA générative pour répondre aux questions lors de ces entretiens.
De plus: «Une fois qu’ils sont employés, ils comptent fortement sur le codage de copilote pour pouvoir occuper 50, 60, 80, 90 emplois à grande échelle, ce qui peut générer des millions et des millions de dollars pour le régime. Et en utilisant l’IA génératrice pour aider à leurs tâches de codage, ils sont capables de le faire également à grande échelle», a déclaré Meyers.
Plateforme de sécurité agentique de Crowdstrike
CrowdStrike a développé sa plate-forme de sécurité agentique précisément pour aider les organisations à suivre le rythme des adversaires de plus en plus équipés d’une AI. « La vitesse croissante de l’adversaire, l’utilisation croissante de l’IA générative signifie d’un point de vue défensif, nous voulons également tirer parti de ces technologies pour égaler et, espérons-le, dépasser la vitesse et l’efficacité des adversaires », a déclaré le CTO Zaitsev de Crowdsstrike lors du briefing.
Crowdstrike est entré dans l’ère génératrice de l’IA l’année dernière avec la sortie de son chatbot Charlotte AI, mais maintenant la société prévoit de se diriger « dans une couche d’autonomie encore plus profonde où nous sommes vraiment après ce que nous appelons le SoC agentique », a déclaré Zaitsev. «Nous voulons que plusieurs agents travaillant dans un ensemble orchestré automatisent progressivement de plus en plus d’aspects de ce qu’un analyste humain fait aujourd’hui.»
Pour y arriver, CrowdStrike s’appuiera sur ce qu’il appelle son «graphique d’entreprise», qui n’est pas une nouvelle base de données de graphiques au sens traditionnel. Au lieu de cela, c’est ce que Zaitsev a appelé «une fusion et une abstraction de toutes les autres choses que nous avons construites sur notre plateforme et que nous avons investi sur près de 15 ans maintenant.»
Le graphique Enterprise s’appuie sur la plate-forme ONUM comme sa couche de fondation, au sommet qui est un graphique de couche de données avec une contextualisation des séries chronologiques de la détection et de la réponse, des données d’actifs, des risques et de l’intelligence. Ces couches alimentent une couche la plus grande composée d’un modèle de données sémantique qui permet aux analystes humains et aux agents de l’IA de prendre des mesures.
La véritable innovation est une langue commune, une «pierre de rosetta»
Tous les systèmes Crowdsstrike ont intégré à son look de graphique d’entreprise et fonctionnent différemment, avec différents schémas, différentes façons de nommer et d’appeler les mêmes objets, différents visages de requête et différentes API, ce qui peut être un défi non seulement pour les interfaces humaines mais aussi les agents d’IA.
La véritable innovation dans la plate-forme de sécurité agentique de Crowdsstrike est donc que les deux premiers niveaux du graphique d’entreprise «agissent comme des couches d’abstraction qui cachent toute cette complexité aux utilisateurs d’IA humains et agentiques», a déclaré Zaitsev. «Le modèle de données sémantique vous donne essentiellement une langue commune, une pierre de rosetta que nous pouvons utiliser pour résumer les différences entre tous ces différents domaines de sécurité, tous ces différents fournisseurs et schémas propriétaires. Et nous le faisons essentiellement en anglais simple et simple.»
Un exemple illustre le fonctionnement de cette innovation. « Un fournisseur comme CrowdStrike pourrait appeler quelque chose un IPv4 dans un événement journal, et un autre fournisseur peut appeler quelque chose d’un IP de trait de quatre », a déclaré Zaitsev. « En tant qu’êtres humains, nous savons intuitivement si vous avez un fond de cybersécurité, ils parlent d’une adresse IP version quatre. »
Mais «les machines de protocole ne fonctionnent généralement pas de cette façon, bien qu’elles aient besoin de cette cartographie effectuée pour eux. Donc, non seulement nous avons fait cette cartographie sans perturber les données sous-jacentes, mais nous utilisons également un sens sémantique simple et simple – des concepts que tout système d’agence comprendra hors de la boîte sans aucune formation spécialisée ou en réglage fin», a-t-il déclaré.
Les significations sémantiques sont utilisées comme catalogue de données en quelque sorte pour la requête globale et le moteur de commande mondial. « Ce sont des couches d’abstraction qui interrogent ces systèmes sous-jacents et permettent également de prendre des mesures de réponse avec eux », a déclaré Zaitsev.
Il a expliqué que «avec le moteur de requête mondial, un analyste humain ou un analyste machine écrira une simple requête en une ligne qui utilise ces concepts de modèle de données sémantiques en anglais simple, et le moteur identifiera automatiquement lequel de ces systèmes de données sous-jacents, et parfois il peut nécessiter plusieurs de ces systèmes, les plus adaptés ou les plus optimisés pour répondre à la requête complexe. Retour, puis retournez cela comme un ensemble unifié de résultats. »
Dans le cadre de la plate-forme de sécurité agentique, CrowdStrike publiera une version AI encore plus intensive de sa plate-forme Charlotte appelée Agent Works, qui est «une plate-forme sans code pour que les clients puissent tester, développer, orchestrer et déployer leurs propres systèmes agentiques avec leurs propres ensembles de données personnalisés et les connaissances spécifiques à l’entreprise ou dans l’organisation», a déclaré Zaitsev.
Les travaux d’agent peuvent également développer des agents via une IA générative en utilisant le langage naturel. « Nous sommes en fait au moment où nous avons des agents qui construisent d’autres agents », a déclaré Zaitsev.
Pour les clients qui souhaitent intégrer la grande variété d’autres systèmes et applications d’IA sur le marché avec la plate-forme Falcon, la plate-forme de sécurité agentique offre également la possibilité d’intégrer toutes les solutions via ce que Crowdstrike appelle son centre d’exploitation.
Enfin, la plate-forme de sécurité agentique offre une expérience utilisateur dynamique, à travers laquelle «les analystes ainsi que les systèmes d’agent peuvent personnaliser et développer dynamiquement leur propre expérience utilisateur, leurs propres flux de travail à la volée, ce qui peut courir plusieurs modules, ensembles de données et référentiels», a déclaré Zaitsev.
Main-d’œuvre de sécurité agentique
Pendant ce temps, la plate-forme de travail de sécurité agentique de Crowdsstrike a été développée pour aider les analystes de sécurité qui sont submergés par des tâches longues et dans les cas où les mesures de sécurité traditionnelles ne peuvent pas suivre les menaces alimentées par l’IA.
Cette main-d’œuvre virtuelle fournit des agents automatisés prêts pour la mission à l’intérieur des capteurs Falcon, transcendant des copilotes «demandes et de réponse». « L’une des principales préoccupations que nous avons entendues des CISO est que leurs entreprises, leurs utilisateurs finaux, se précipitent pour adopter les technologies de l’IA », a déclaré Zaitsev.
« Les CISO sont dans un endroit difficile », a-t-il ajouté. «Ils ne veulent pas arrêter cette innovation. Ils ne veulent pas être un obstacle à l’adoption organisationnelle, mais ils sont également terrifiés par les données quittant la porte d’entrée et se rendant à tous ces systèmes tiers dont ils n’ont aucune visibilité, aucun contrôle sur, et cetera.»
« Donc, il y a quelques mois, nous avons lancé la capacité par le biais de notre application de protection des données à identifier dans l’utilisation du navigateur et la capacité de détecter et d’empêcher l’utilisation des services d’IA génératifs non approuvés par rapport à des services générateurs approuvés », a-t-il déclaré. «Nous étendons maintenant cette capacité à parcourir tout le point final.»
Par exemple, «nous pouvons détecter qu’il existe des secrets ou des mots de passe ou un code source qui sont involontairement laissés exposés», a déclaré Zaitsev. « Si un développeur essaie alors d’envoyer ce code source à un assistant de code GEN AI non approuvé, nous pouvons l’identifier et bloquer cela. Mais à l’inverse, nous pouvons leur permettre de continuer à l’utiliser avec un assistant de codage d’entreprise approuvé, où ils seraient autorisés à envoyer des choses comme des secrets car il est contrôlé et vérifié. »
