Développé par Microsoft Research et les équipes Defender, Project IRE utilise des outils avancés de raisonnement et d’ingénierie inverse pour classer les menaces logicielles sans nécessiter de signatures antérieures.
Microsoft a introduit Project IRE, un agent d’IA autonome capable d’analyser et de classer les logiciels comme malveillants ou bénins, sans aucune connaissance préalable de son origine ou de son objectif.
Développé en collaboration entre Microsoft Research, Microsoft Defender Research et Microsoft Discovery & Quantum, le système utilise des modèles de langage avancés et une suite d’outils d’ingénierie inverse et d’analyse binaire appelés pour stimuler l’enquête et l’arbitrage.
Project IRE a été testé sur des ensembles de données accessibles au public des pilotes Windows et a atteint une précision de 0,98 et un rappel de 0,83, a noté Microsoft. La société a également reconnu que le projet IRE était le premier insensément à Microsoft, qu’il soit humain ou IA, à construire un cas suffisamment fort pour bloquer automatiquement un échantillon de logiciel de menace persistant avancé spécifique (APT). La menace a ensuite été confirmée et bloquée par Microsoft Defender.
Comment fonctionne le projet Ire
Microsoft Defender scanne plus d’un milliard d’appareils actifs par mois qui nécessitent régulièrement un examen manuel des logiciels par des experts, entraînant des erreurs et une fatigue alerte. Par conséquent, l’architecture de Project IRE permet de raisonner à plusieurs niveaux, de l’analyse binaire de bas niveau pour contrôler la reconstruction du débit et l’interprétation de haut niveau du comportement du code.
Project IRE commence par identifier le type et la structure de fichiers, puis reconstruit le graphique de flux de contrôle du logiciel à l’aide d’outils tels que ANGR et GHIDRA. Il analyse les fonctions clés à travers une API, construisant une «chaîne de preuves» détaillée pour montrer comment elle a atteint son verdict. Un validateur intégré recoupe les résultats contre les contributions expertes pour garantir la précision avant que le système ne classe le logiciel comme malveillant ou bénin.
«Project Ire, en tant que prototype d’IA autonome, progresse au-delà des outils existants qui reposent sur des logiciels d’ingénierie inverse pour détecter les menaces. Contrairement aux outils TDIR actuels sur le marché, qui dépendent de l’apprentissage automatique ou de l’IA, des modèles et des signatures connues pour identifier les menaces et les modèles connues, le projet IRE semble effectuer une analyse profonde et indépendante du comportement d’un fichier», a déclaré Charanpal Bhogal, Ire. Il a ajouté: «Cela lui permet d’identifier un code malveillant nouveau ou non non détecté en utilisant des agents d’IA pour examiner la surface d’attaque et livrer une« chaîne de preuve »claire pour l’action. L’élément AI agentique passe de la boucle soutenue par l’homme à des approches entièrement autonomes, tout en maintenant un humain dans la boucle.»
«Des outils établis tels que CrowdStrike Falcon, Sentineone et Palo Alto Cortex XDR, qui s’appuient sur la reconnaissance des modèles, l’apprentissage supervisé et la validation humaine, l’IRE est conçue pour générer indépendamment des analyses de logiciels malveillants et fournir des classifications de menace interprétables en utilisant un moteur de raisonnement qui imite les processus cognitifs humains.
Test du monde réel
Dans les tests du monde réel sur 4 000 fichiers «ciblé durs» qui avaient des outils automatisés perplexes, Project IRE a signalé 9 fichiers malveillants sur 10 fichiers correctement et un faible taux de faux positifs de 4%.
Cela rend le projet IRE adapté aux organisations qui opèrent dans des environnements à haut risque, à volume élevé et sensibles au temps où le triage traditionnel de la menace humaine est insuffisant.
Rawat a ajouté que les adoptants idéaux incluent les entreprises natives dans le cloud, les sociétés multinationales et les secteurs d’infrastructures critiques qui géraient de vastes surfaces d’attaque complexes. Même les entreprises de taille moyenne avec des SOC sous-ressources peuvent bénéficier, car l’IRE aide à évoluer la détection au milieu des pénuries de talents de cybersécurité.
Selon Bhogal, les grandes entreprises avec des programmes de développement de logiciels matures, en particulier dans la défense, les soins de santé, les services financiers, le gouvernement et la fabrication, sont également bien placés pour gagner de la valeur de la colère.
Défis de déploiement
Actuellement prototype, Microsoft prévoit de tirer parti du projet IRE dans l’organisation Defender de Microsoft en tant qu’analyseur binaire pour la détection des menaces et la classification des logiciels.
Mais l’adoption de l’IRE du projet de Microsoft dans les centres d’opérations de sécurité réels (SOC) nécessiterait des changements techniques et opérationnels importants. «L’adoption du projet IRE dans les SOC d’entreprise nécessiterait une intégration avec les systèmes SIEM et SOAR existants, une infrastructure informatique robuste pour les LLM, la formation des analystes pour interpréter les sorties d’IA, les processus d’escalade repensés, et la gouvernance mise à jour pour assurer la transparence, la conformité et le contrôle des risques», a déclaré Pareekh Jain, CEO chez Eiirtend & Parekh Consulting.
Project IRE signale une évolution croissante de l’industrie vers l’IA d’agence, où les systèmes autonomes seront capables d’agir, d’adapter et de prendre des décisions indépendamment. Mais dans le même temps, la dépendance excessive sur les systèmes autonomes peut également présenter des risques notables tels que la confiance excessive dans les décisions d’IA, la dérive du modèle ou l’exploitation contradictoire, le manque d’explicabilité et la décomposition des compétences humaines à partir de la délégation, a ajouté Jain.
