L’IA transforme la réponse des incidents d’une ruée réactive en une force proactive, reniflant les menaces, décodant le chaos et intervenant juste à temps pour sauver la journée.
Pendant des années, la réponse aux incidents de la cybersécurité était un peu comme écouter des alarmes de fumée dans un manoir – si vous avez entendu un bip, vous saviez que quelque chose était en feu. La détection basée sur la signature a fait le travail, mais seulement après que les dommages ont commencé à couler. Entrez l’IA, qui n’attend pas simplement la fumée – il renifle une cuisine étrange, vérifie les plans et détermine si le feu est réel, accidentel ou partie d’un casse élaboré.
Alors que les menaces deviennent plus rapides, plus sournoises et plus sur mesure, le jeu de réponse monte à niveau. L’IA aide les équipes à abandonner le whack-a-mole réactif et à entrer dans un monde de défense de contexte en temps réel. Pensez à un bouton moins de panique, un détective plus prédictif avec un talent pour la reconnaissance des motifs.
L’IA est particulièrement utile avec deux capacités clés, souligne David Gruber, analyste principal chez Enterprise Strategy Group (ESG). «Premièrement, la capacité d’appliquer plus efficacement les renseignements sur les menaces dans le processus de détection, d’enquête et de réponse», a-t-il déclaré. «Cela a longtemps été un défi pour de nombreuses équipes de sécurité, et l’application récente de l’IA est désormais en train de filmer des menaces utiles tout au long du processus SECOPS. Le deuxième domaine est l’automatisation. L’IA aide à automatiser bon nombre des tâches les plus manuelles précédemment associées à l’enquête sur la menace, réduisant les étapes manuelles nécessaires pour effectuer une enquête.»
Dépasser la détection basée sur la signature
L’apprentissage et l’adaptation des menaces émergentes sont une capacité commercialisée avec l’IA, promettant une réduction significative du temps de réponse aux incidents.
La capacité se présente sous la forme de modèles d’apprentissage automatique analysant continuellement l’activité du réseau avec des algorithmes plus intelligents pour identifier les anomalies conduisant à des violations potentielles, une amélioration frappante par rapport à la détection traditionnelle basée sur la signature.
«Les systèmes EDR axés sur l’IA sont encore nouveaux dans le grand schéma de la réponse aux incidents de cybersécurité, (en particulier) impressionnant dans la façon dont ils gèrent la quantité massive de données que les équipes d’opérations de sécurité doivent passer par tamis», a déclaré Doug Kresten, CISO chez AppFire. «La détection basée sur la signature et l’heuristique auront toujours leur place, mais ils seront obscurcis dans les couvertures de l’IA.»
Gruber a déclaré que l’IA coupe dans les deux sens, et c’est une bonne nouvelle pour la sécurité. « Les méthodes récentes tirent parti de nouvelles capacités d’IA pour étendre la capacité de détecter le nombre croissant de variantes activées par l’utilisation contradictoire de l’IA moderne », a-t-il déclaré.
Les fournisseurs comme CrowdStrike, Microsoft et Palo Alto Networks sont les ou à ouvrir la voie dans ces cas d’utilisation. Alors que le Falcon de Crowdsstrike utilise l’IA pour analyser le comportement des paramètres en temps réel pour détecter les menaces, le défenseur de Microsoft combine l’apprentissage automatique et l’intelligence des menaces pour identifier et contenir des activités suspectes. Palo Alto a également ajouté ces capacités à son cortex XDR.
Alors que l’IA donne à la détection une mise à niveau indispensable, apparente à partir d’offres comme Falcon et Defender, sa contribution à l’analyse des incidents est presque également en dons.
Interroger la catastrophe
Traitement du langage naturel (PNL) – La partie de l’IA qui enseigne aux machines à donner un sens au langage humain – s’est sifflé tranquillement dans la boîte à outils de cybersécurité. Ce n’est pas flashy, mais c’est étonnamment pratique. Dans l’analyse des incidents, la PNL peut aider à passer à travers des piles de journaux, d’alertes et de rapports pour retirer les bits qui comptent réellement.
« Le traitement du langage naturel a permis à l’analyse des incidents de devenir beaucoup plus facile », a déclaré Kresten. » «Je pense que cela aura un impact sur le type d’employés embauchés et les compétences qui sont attendues d’eux. Aujourd’hui, la majorité des utilisateurs ne savent pas comment le fonctionnement de l’architecture et du codage sous-jacente au niveau de la machine, comme ils le devaient dans le passé pour faire quoi que ce soit. Ils savent simplement utiliser le système. »
Selon une étude récente, le «traitement du langage naturel pour l’analyse des incidents de cybersécurité», les chatbots axés sur la NLP ont réduit les temps de réponse du triage des incidents initiaux de 70% et ont atteint un taux de satisfaction de l’utilisateur de 85%. De plus, des modèles de résumé basés sur la PNL comme Berttsum et T5 ont amélioré la compréhensibilité des rapports d’incident, ce qui réduit les parties prenantes du temps nécessaires pour comprendre les points clés de 60%.
Les assistants populaires alimentés par Gen-AI comme Splunk et Qradar sont parmi les meilleures options disponibles pour que les entreprises automatisent le résumé des incidents, l’analyse d’artefacts ou le dépannage des PNL.
Réponse à la volée
Bien que l’IA soit excellente pour la détection et le diagnostic, il entre également dans le rôle du répondeur. Les fournisseurs de sécurité comme Palo Alto Networks intègrent déjà des modèles d’IA qui peuvent isoler les systèmes compromis, bloquer les IP suspects et même les vulnérabilités de patch, souvent sans attendre l’entrée humaine.
Cependant, dans le contexte de la réponse, Gruber et Kresten sont d’accord sur une chose: l’autonomie complète n’est pas encore là. « La plupart des organisations veulent toujours qu’un humain dans la boucle prenne la décision finale », a noté Kresten. La raison? Confiance – quelque chose qui est encore gagné. Comme les recommandations de l’IA s’améliorent et font leurs preuves sous le feu, de plus en plus d’entreprises devraient se diriger vers une automatisation à grande échelle, selon Gruber.
L’un des principaux défis de l’utilisation de l’IA en réponse est que certaines des API nécessaires pour automatiser les flux de travail de réponse sont toujours en construction. Cela devrait être accompli au cours des 12 à 18 prochains mois, a déclaré Gruber, ajoutant que l’IA agentique pourrait aller courant à la même époque.
Mais les défenseurs ne seront pas les seuls à armer. Les attaquants exploitent de plus en plus l’IA générative pour le phishing, la création de logiciels malveillants et même les attaques polymorphes qui évoluent en temps réel. À mesure que la pression contradictoire se renforce, les défenseurs peuvent même devoir réfléchir aux défenses de l’IA prêt à l’emploi.
Comme l’a souligné Kresten, «la sécurité offensive pourrait enfin devenir une chose acceptée. Dans l’ensemble, l’IA n’est plus seulement les journaux de récupération interne – c’est le collègue caféiné qui commence à résoudre les violations avant même que vous ayez une snooze.
