L'apprentissage automatique et l'intelligence artificielle ont-ils un rôle à jouer dans la cybersécurité ?

Nous prospérons dans une ère où les systèmes numériques sont devenus l’épine dorsale de nos activités quotidiennes. Aujourd’hui, lorsqu’une cyberattaque se produit, elle peut entraver notre vie de plusieurs façons. Une recherche récente sur la sécurité souligne que la plupart des entreprises ont de mauvaises politiques de cybersécurité et des données non protégées, ce qui les rend vulnérables aux cyber crimes.

Selon Gartner, les dépenses mondiales en matière de cybersécurité devraient atteindre 133,7 milliards de dollars d’ici 2022. Comme les entreprises ont de plus en plus le sentiment que leurs risques de cybersécurité augmentent, elles vont se tourner vers des méthodes plus sophistiquées pour faire face aux risques en les prévenant, en les soignant et en les atténuant grâce à des solutions de cybersécurité modernisées.

L’intelligence artificielle (IA) et l’apprentissage automatique (ML) sont maintenant annoncés comme un moyen d’aider les entreprises à détecter et à corriger plus rapidement les cyber crimes.

S’ils existent depuis des décennies sous forme de concepts, leur récente montée en puissance peut être liée à deux facteurs :

  1. Les programmes d’IA/ML exigent beaucoup de calculs. La récente disponibilité des technologies de cloud computing a rendu ces algorithmes réalisables, et les nouveaux dispositifs matériels ont également beaucoup aidé.
  2. La formation des modules d’IA et de ML nécessite des données massives. L’essor des grandes plateformes de données a amélioré l’efficacité des programmes d’IA et de ML, les rendant ” meilleurs que les humains ” dans une myriade d’applications.

Dans le domaine de la cybersécurité, l’IA et le ML peuvent être utilisés pour transmettre à une machine des connaissances sur tout ce que nous savons être bon et tout ce que nous savons être mauvais. Ainsi, lorsqu’une anomalie survient, la machine sera en mesure de la détecter comme étant bonne ou mauvaise.

Les possibilités lorsque l'IA/ML viennent assurer la cyber-résistance

Les cyberattaques ne cessent de s’amplifier et de se complexifier avec les attaques IoT, le phishing et le spam, le crypto jacking, les violations de données, les logiciels malveillants mobiles, les opérations d’espionnage et les logiciels de rançon. Les pertes de données et les perturbations causées par ces attaques coûtent de l’argent aux entreprises et nuisent à leur réputation.

L’apprentissage automatique présente un avantage intéressant pour nous en ce qui concerne la garantie de la cyber-résistance. La capacité des algorithmes de ML à analyser de grands ensembles de données et à identifier des anomalies et des modèles en un instant est essentielle pour détecter et répondre aux événements de cybersécurité.

Les mises à jour automatiques des programmes logiciels existants basées sur une évaluation sophistiquée par l’IA et les solutions soutenues par le ML peuvent aider à aborder la cybersécurité à grande échelle.

Les grands fournisseurs de messagerie électronique utilisent déjà ces technologies pour empêcher les liens de spam, les images violentes, détecter les liens de phishing, les logiciels malveillants et les cas de demandes de paiement frauduleuses. L’apprentissage automatique présente un gros potentiel comme défense contre les virus et les logiciels malveillants.

Jusqu’à récemment, les solutions de défense antivirus étaient principalement basées sur les signatures. Autrement dit, elles identifiaient les programmes malveillants en extrayant une empreinte digitale unique. Le processus de détection traditionnel basé sur la signature est maintenant dépassé.

En effet, ces signatures sont utiles pour reconnaître une forme virale donnée et proposer un diagnostic direct ou même un nettoyage associé. Cependant, lorsque les outils malveillants deviennent plus sophistiqués et qu’il faut en traiter un million, une telle solution ne peut pas être suffisante.

Il faut maintenant des outils pour détecter ce qui n’est pas connu et reste invisible. Pour cela, les technologies basées sur l’intelligence artificielle ne seront plus une option, mais une nécessité dans les temps à venir.

Lorsqu’un enfant distingue un chien d’un chat, qui appartiennent tous deux à la famille des animaux, il n’attribue pas une signature de base à ” chien ” ou ” chat “. Il utilise un puissant mécanisme de reconnaissance dans son cerveau.

Une infrastructure de cybersécurité mature en 2020 a besoin de la même capacité : être capable d’identifier de la même manière les ” goodwares ” ou les ” malware “. Le Deep Learning prend alors tout son sens, surtout lorsqu’on parle d’un CSOC/CSIRT.

Quelques pionniers se sont lancés dans cette aventure pour mécaniser une intelligence artificielle efficace, capable de trier et d’assister les humains face à des millions d’outils malveillants.

Cas d'utilisation de l'IA/ML dans la cybersécurité

Voici quelques façons d’appliquer l’IA et le ML à la cybersécurité :

  • Analyse judiciaire avec regroupement – Les données qui ne correspondent pas à des paramètres prédéfinis sont regroupées en fonction de leurs similitudes ou de leurs anomalies. L’analyse forensic permet de mettre en lumière la méthode d’attaque et les dommages. Comme le clustering nous permet de rassembler des données sans le savoir-faire de son groupe, il peut aider les équipes à reconstituer les différents éléments après une brèche.

  • Phishing et filtrage du spam avec classification – La classification consiste à classer les données en fonction de paramètres prédéfinis. L’utilisation de cette technique pour la détection du spam et du phishing peut aider à classer les activités avec précision et rapidité.

  • Réponse aux incidents et gestion des risques – L’approche de recommandation fait en sorte que les algorithmes de ML tirent des leçons des données d’entrée, des expériences passées et des associations pour recommander des décisions et des approches. Cela peut être utile pour la formation de l’algorithme en fonction des différentes mesures prises lors de divers événements. Au fur et à mesure qu’il détecte des modèles, l’algorithme peut alors faire des recommandations pour atténuer les risques et réagir aux événements.

  • Pentesting avec des cadres générateurs – En se basant sur des données historiques, les programmes basés sur le ML peuvent générer des possibilités qui peuvent être appliquées aux données en tant qu’entrées nouvelles et stimulantes. Cela pourrait également conduire à de nouvelles technologies offensives dans un avenir proche.

  • Gestion des menaces 0-day – Les menaces 0-day n’ont pas de signatures connues ou reconnaissables. Les experts utilisent des technologies telles que le sandboxing ou les core dumps pour analyser certaines de ces menaces. Le sandboxing consiste à installer un fichier ou un programme suspect dans un sandbox VM puis à observer son comportement pour déterminer s’il est bon ou mauvais. Ce processus, lorsqu’il est effectué manuellement, peut prendre plusieurs minutes, tandis que les modèles AI/ML peuvent rendre le verdict en quelques millisecondes.

Les limites de l'AI et du ML dans la cybersécurité

Un principe fondamental de la cybersécurité est la défense en profondeur, ce qui signifie avoir plusieurs couches de sécurité et ne pas dépendre d’une seule technologie. Il y a un débat médiatique sur les capacités d’IA et de ML dans la cybersécurité, mais pour une stratégie de cybersécurité bien équilibrée, vous devez vous assurer que tout le contenu auquel un utilisateur accède est scanné, que les systèmes sont patchés et mis à jour, etc.

De plus, certaines catégories de problèmes de cybersécurité sont mieux adaptées que d’autres pour être traitées par l’IA et le ML. La détection du phishing, par exemple, a une composante visuelle. Les progrès des algorithmes de vision de l’IA et du ML nous ont amenés à appliquer ces techniques pour détecter les faux sites Web et déclencher une alarme.

De même, l’IA et le ML peuvent être utilisés pour détecter un comportement inhabituel de l’utilisateur en entraînant le réseau de neurones sur ce qui est habituel. Tout autre cas d’utilisation de l’IA et du ML dans la cybersécurité est peut-être encore à l’état embryonnaire et doit être testé.

Lorsqu’elles sont formées par des experts en cybersécurité, les solutions de cybersécurité basées sur l’IA et le ML peuvent constituer un excellent complément aux dispositifs de sécurité de votre entreprise.

En savoir plus sur notre moteur basé sur le réseau neuronal qui peut détecter intelligemment les logiciels malveillants, un sous-module inclus dans le produit TEHTRIS EDR. Une version publique est également disponible sur VirusTotal, appelée eGambit, et nous proposons à nos clients une IA améliorée spécifique dans notre infrastructure Cyber Threats Intelligence.

En 2020, attendez-vous à de nouvelles fonctionnalités pour améliorer la façon dont nos outils vous aident (SOC Security Operation Center) en utilisant les dernières technologies.