En cybersécurité, l’intelligence artificielle se concentre sur le comportement
L'intelligence artificielle et en particulier l'apprentissage automatique, est utilisée avec succès dans les outils de sécurité informatique.
L'intelligence artificielle et l'apprentissage automatique caracolent en tête de la liste des mots à la mode que les fournisseurs de sécurité utilisent aujourd'hui pour différencier leurs offres. Mais plus qu’une mode – qui ne serait dans ce cas plus si nouvelle –, ces termes représentent des technologies viables. L'apprentissage automatique apporte une réelle valeur ajoutée aux équipes de sécurité pour identifier les attaques, les maliciels et autres menaces.
L'augmentation massive des attaques, d'instances de nouveaux logiciels malveillants et de variantes d'anciens maliciels est une raison suffisante pour utiliser l'apprentissage automatique dans la cybersécurité. Cette technique apporte aux systèmes de sécurité la capacité de traiter, détecter, identifier et éliminer toutes sortes de menaces en quelques millisecondes. La mentalité d'antan, qui consistait à « envoyer une alerte à l'informatique pour qu'elle puisse assurer le suivi », ne fonctionne tout simplement plus.
Mais la valeur de l'apprentissage automatique dans la cybersécurité réside dans sa capacité à repérer le « méchant » – sous quelque forme que ce soit – de manière aussi proactive que possible. Avec tant de vecteurs de menaces, à quoi les produits devraient-ils consacrer leurs cycles d'IA et d'apprentissage automatique ? La réponse globale est simple : le comportement.
De l'antiviral à la sécurité comportementale
L'industrie de la sécurité a commencé par le comportement le plus simple qu'elle pouvait trouver : l'exécution de nouveaux programmes malveillants (comprendre : virus) sur un hôte donné. Recherchez ce comportement spécifique (comprendre : la signature d’un maliciel) et voilà : l'industrie de l'antivirus est apparue.
Mais, aujourd'hui, les cybercriminels cherchent avec diligence des moyens d’améliorer leur furtivité, pour éviter la détection, en altérant suffisamment un exécutable pour qu’il affiche une signature différente, voire même en évitant de recourir à un exécutable. Ainsi, les outils ont besoin de l'apprentissage automatique pour surveiller un certain nombre de comportements et de caractéristiques spécifiques au-delà d’une signature précise.
L’apprentissage automatique apporte une valeur ajoutée nette dans plusieurs domaines. Et cela commence par le comportement des hôtes : pour être efficace, un logiciel malveillant doit s'exécuter sur un système. Cela signifie que des fichiers doivent être écrits (à l'exception de l'injection directe de mémoire), des processus doivent être lancés et des ressources doivent être sollicitées. Dans les cas où des attaques surviennent et où des processus légitimes sont compromis, les actions anormales de ces processus seront évidentes.
Vient ensuite le comportement réseau. Le trafic est plus ou moins prévisible. Les hôtes interagissent généralement avec les mêmes sites ou systèmes, sur les mêmes ports, en utilisant les mêmes instances de chiffrement et en envoyant la même quantité de données. Les attaques impliquent l'utilisation de serveurs de commande et de contrôle, l'utilisation de ports inhabituels, le transfert de quantités de données peu coutumières et une utilisation accrue du chiffrement.
A cela s’ajoute le comportement de l'utilisateur. Les utilisateurs sont au travail pour faire leur travail et sont normalement confrontés à un nombre limité et prévisible de tâches plus ou moins répétitives. Ils se connectent la plupart du temps à peu près à la même heure, utilisent les mêmes applications, accèdent et interagissent avec les mêmes types et quantités de données et communiquent avec les mêmes personnes au sujet des mêmes choses. Les attaques impliquent la compromission d'un poste de travail, des identifiants d'utilisateur et des comportements qui sortent de l’ordinaire.
Si un attaquant utilise des applications natives du poste de travail compromis, cela aussi sera considéré comme inhabituel dans la plupart des cas et aidera à identifier un comportement menaçant.
En fait, la question est la même pour chaque produit mettant à profit l’intelligence artificielle : qu’est-ce qui est surveillé ? La réponse doit tourner autour des comportements susceptibles d’indiquer une intrusion, une découverte, une compromission, un déplacement latéral, une manipulation ou une exfiltration tentée ou réussie.
Les outils utilisant l'apprentissage automatique ne sont plus une simple mode ; ce sont des technologies qui détectent véritablement les comportements anormaux en beaucoup moins de temps que n'importe quel humain. Il sera intéressant de voir ce que le futur réserve à l’intelligence artificielle dans le domaine de la cybersécurité.
Au fur et à mesure de l'évolution des efforts des deux camps, l'intelligence artificielle et l'apprentissage automatique vont-ils mettre fin aux cyberattaques – ou du moins à certaines formes de cyberattaques ? Seul l'avenir le dira. Mais, pour l'instant, ces outils axés sur le comportement doivent faire partie des stratégies de sécurité des entreprises. Ou du moins de celles qui veulent avoir une chance de tenir bon.