Secu
L’IA contribue à bloquer les cyberattaques de plus en plus tôt
Par La rédaction, publié le 14 septembre 2023
Certes, l’IA peut générer des emails de phishing redoutables, sans faute d’orthographe. Mais des usages plus positifs de l’IA détectent les cyberattaques très en amont afin de les bloquer juste à temps.
De Christophe Auberger, Evangéliste Cybersécurité chez Fortinet
L’intelligence artificielle et l’apprentissage profond (deep learning) sont exploités depuis douze ans en cybersécurité. Sur les EDR (Endpoint Detection & Response) et les IPS (Intrusion Prevention System) en particulier, neuf codes malveillants sur dix proviennent désormais d’une détection en amont, avec génération automatique de signature.
Le principal intérêt consiste à identifier des attaques qui n’ont jamais été repérées auparavant. Au lieu de procéder par échantillonnage de fichiers signalés, comme on le faisait autrefois, on analyse les fichiers transmis par des sondes actives et par des honeypots (leurres informatiques) pour en extraire des caractéristiques servant à discerner un malware. Ainsi, de nombreuses attaques et variantes sont détectées avant même d’avoir fait leur première victime.
Améliorer les indices de compromission
Les mécanismes de deep learning apportent cette faculté de détection de codes malveillants très en amont. Ils contribuent à alerter les entreprises sur des cyberattaques qui viennent à peine d’être déclenchées. Toute nouvelle signature d’attaque automatisée est générée plusieurs centaines de fois plus rapidement que lors d’une analyse par l’homme. L’IA examine ainsi des volumes croissants de logs (journaux systèmes et réseau) pour définir, améliorer et partager des indices de compromission optimisés.
D’autres usages fréquents de l’IA concernent le Machine Learning et l’analyse comportementale. Les habitudes d’utilisation sont modélisées pour pouvoir prévenir dès qu’on s’en écarte, quand le comportement d’une personne ou d’un trafic réseau sort de l’ordinaire. Les protections modernes d’e-mails, de postes de travail et d’équipements réseau reposent sur une telle approche.
À LIRE AUSSI :
Cette génération de modèles se heurte toutefois à une limite : si un attaquant parvient à fausser la phase d’apprentissage, un comportement suspect pourra passer pour normal. Cela suppose néanmoins que l’attaquant soit déjà en place et parvienne à capter des logs pour les empoisonner à temps.
L’IA ne pourra pas résoudre toutes les situations par elle-même ni remplacer tous les analystes humains en cybersécurité. Par exemple, lorsqu’un mécanisme de scoring établit une note de 0 à 100 pour identifier une suspicion d’attaque, un score supérieur ou égal à 70 pourra signaler une compromission très probable. Inversement, en dessous de 30, on estimera que la situation est normale. Mais que faire d’un score situé entre ces deux valeurs ? Une analyse humaine devient alors indispensable.
Grâce à l’IA, on automatise des tâches fastidieuses, comme on élimine un bruit de fond. L’équipe d’experts en cybersécurité peut concentrer son temps, son énergie et ses ressources sur les problématiques les plus complexes à analyser, celles qui représentent, potentiellement, une menace pour l’organisation.
Configurer dynamiquement les filtrages web
Une configuration correcte de chaque équipement interconnecté reste essentielle à la protection efficace d’une application distribuée. C’est un constat que dressent régulièrement tous les administrateurs de sécurité. Or, les portails web et les applications de commerce électronique sont modifiés plusieurs fois par jour à présent, obligeant les frontaux de communication et les outils de filtrage à s’adapter plus souvent. Le pare-feu applicatif gagne, à son tour, à exploiter des fonctions d’autoapprentissage ; il apprend ainsi à évaluer l’impact des modifications apportées aux ressources sous sa protection pour appliquer aussitôt les reconfigurations nécessaires.
De leur côté, les cybercriminels exploitent des failles publiques de systèmes et d’applications pour cibler les serveurs d’entreprise qui n’ont pas encore été mis à jour. L’IA leur permet de traiter de grands volumes de données pour détecter et exploiter des vulnérabilités de type zero day.
À LIRE AUSSI :
On assiste à un combat constant entre l’attaque et la défense, avec des variantes d’attaques toujours plus nombreuses et plus fréquentes. Au niveau des SOCs (Security Operation Centers), les logs consolidés représentent un volume d’informations dépassant les capacités d’analyse humaine ; ce corpus d’apprentissage aide cependant l’IA à délivrer aux analystes un volume plus restreint de données plus pertinentes.
L’objectif n’est pas de remplacer l’humain, car la décision finale lui appartient toujours. En revanche, l’IA diminue les volumes à traiter manuellement ; elle permet de gagner du temps et d’apporter des indices de compromission avec de moins en moins de faux positifs.
Fortinet déploie actuellement l’IA dans un nombre croissant d’outils de sécurité, jusque dans sa Security Fabric qui identifie chaque élément du réseau pour repérer les vecteurs d’attaques potentiels. Cela permet d’établir et de déployer des stratégies d’atténuation plus efficaces tout en constituant un tissu d’échanges d’informations au bénéfice de l’augmentation globale de la sécurité du réseau d’entreprise.
À LIRE AUSSI :