La défense contre les cyberattaques est-elle défaillante ? En tant que responsable du marketing produit à l'adresse Vectra AI, j'ai assisté pour la première fois au Gartner Security and Risk Summit qui s'est tenu récemment à Londres, et cette question a été la première que j'ai posée. Dès la première session, j'ai confirmé que la spirale du "toujours plus" était bien réelle dans le domaine de la cybersécurité. Plus d'attaques, plus d'outils, plus d'alertes et plus d'épuisement.
Tout au long de la conférence, j'ai rencontré à plusieurs reprises les trois mêmes thèmes :
- Commentpouvons-nous obtenir des résultats efficaces et efficients en matière de sécurité sans déborder de nos ressources et de nos capacités ?
- Commentpouvons-nous tirer parti de l'IA pour nous défendre contre les attaquants en constante évolution qui adoptent l'IA ?
- Commentnotre centre d'opérations de sécurité (SOC) peut-il protéger les identités contre l'utilisation par des attaquants ?
Dans cet article de blog, je partagerai quelques-unes des principales conclusions du sommet et l'approche unique de Vectra AIpour répondre à ces questions.
L'état d'esprit minimum efficace
La première chose à retenir est le concept d'"état d'esprit minimal efficace", qui consiste à trouver l'équilibre optimal entre la sécurité et la simplicité.
Ensemble minimal d'outils efficaces
Plus d'outils ne garantit pas une meilleure protection. Bien que 75 % des organisations cherchent à consolider leurs fournisseurs1, elles utilisent en fin de compte davantage d'outils et de technologies, car les responsables de la sécurité ont toujours l'impression de ne pas être correctement protégés2. Les équipes de sécurité devraient s'efforcer d'utiliser le moins de technologies possible pour observer, défendre et répondre aux tentatives d'exploitation. Lorsqu'elles évaluent l'efficacité des outils, les équipes de sécurité sont encouragées à prendre en compte l'interopérabilité entre les outils ainsi que le temps et les efforts nécessaires pour les gérer, les maintenir et les utiliser.
Expertise minimale effective
Un plus grand nombre de professionnels de la cybersécurité n'assure pas nécessairement une meilleure protection. Avec une croissance de 65 % de la demande de talents en cybersécurité sur un marché qui connaît déjà une pénurie de 3,4 millions de talents34, l'embauche de plus d'experts n'est pas la réponse au problème des attaques de plus en plus sophistiquées. Par conséquent, les équipes de sécurité devraient se concentrer sur le développement d'une expertise minimale efficace. Un exemple est l'exploitation de l'IA pour réduire la quantité de tâches répétitives et fastidieuses.
Vectra AIDétection et réponse intégrées aux menaces d'attaques hybrides de la Commission européenne
Avec la plateforme Vectra AI, les comportements des attaquants sont visibles à travers les réseaux, les identités, les sites publics cloud et SaaS. Les signaux sont intégrés dans tous les domaines afin d'éliminer les temps de latence dans les processus de détection, d'investigation et de réponse. Notre solution multiplie par plus de deux la productivité des analystes SOC en réduisant le bruit des alertes de 80 %. Nous réduisons également le temps d'ingénierie de détection de plusieurs mois à quelques jours grâce à l'utilisation de plus de 150 modèles de détection prédéfinis. Notre outil dispose de plus de 40 intégrations pré-construites à travers les outils EDR, SIEM, SOAR, ITSM, garantissant l'interopérabilité avec vos outils existants.
Défense de l'IA contre les attaques de l'IA
Le deuxième point à retenir est la nécessité d'utiliser efficacement l'IA pour se défendre contre des attaquants de plus en plus sophistiqués qui adoptent l'IA pour automatiser et optimiser leurs activités malveillantes. Bien que la plupart des fournisseurs de solutions de sécurité affirment utiliser l'IA dans leur technologie, il est plus important que les équipes de sécurité restent critiques et posent les bonnes questions pour évaluer leurs outils. Par exemple, leur approche de l'IA/ML se contente-t-elle de détecter les anomalies et nécessite-t-elle une mise au point et une maintenance humaines constantes ? Leur recherche se concentre-t-elle uniquement sur des outils/groupes d'attaque spécifiques qui seront difficilement applicables aux nouvelles techniques ? Leur algorithme fonctionne-t-il par lots périodiques, ce qui pourrait retarder l'alerte et donner aux attaquants l'occasion de faire progresser leurs attaques ? Même si les fournisseurs vous donnent des réponses parfaites, la validation est la clé pour éviter que les fournisseurs ne fassent trop de promesses et n'en fassent pas assez. Les équipes de sécurité sont encouragées à utiliser des méthodes internes et externes, telles que des outils de simulation d'attaques et des services de validation tiers.
Vectra AIL'approche unique de l'IA de la Commission européenne pour trouver les attaques que les autres ne peuvent pas détecter
Pour se défendre efficacement contre les attaques de l'IA, nous devons adopter le point de vue de l'attaquant dans la défense de l'IA. Vectra AI a déposé 35 brevets dans le domaine de la détection des menaces pilotée par l'IA et est le fournisseur le plus référencé par MITRE D3FEND. Nos détections se concentrent explicitement sur la recherche d'attaquants et l'identification de leurs méthodes en action, et pas seulement sur les anomalies. Nos algorithmes d'IA axés sur la sécurité étudient la corrélation entre des événements isolés et des incidents de sécurité exploitables. Notre technologie brevetée Attack Signal IntelligenceTM breveté utilise l'IA/ML pour analyser les comportements des attaquants et les modèles de trafic propres à l'environnement du client afin de réduire le bruit des alertes et de ne faire remonter à la surface que les véritables événements positifs pertinents. Notre équipe R&D ne se contente pas de surveiller et d'examiner en permanence les méthodes des attaquants, mais étudie également les méthodes générales qu'ils utilisent. Cela permet à Vectra AI de couvrir à la fois les outils qui exécutent des attaques aujourd'hui et ceux qui seront développés à l'avenir. La vitesse de détection étant importante, nos algorithmes s'exécutent sur des données en continu plutôt que sur des lots périodiques, afin de disposer de suffisamment de temps pour stopper la progression des attaquants.
Le tissu identitaire dans le SOC
Étant donné que l'IA est la voie à suivre, où peut-elle être déployée pour obtenir une valeur ajoutée le plus rapidement possible ? Cela m'amène au troisième point à retenir : les équipes SOC devraient exploiter l'IA pour la détection et la réponse aux attaques d'identité. 84 % des organisations sont victimes de violations liées à l'identité5. Les attaquants ciblent souvent les informations d'identification et les privilèges des utilisateurs, en particulier des super administrateurs, afin d'obtenir un accès et de se déplacer latéralement sur les réseaux. Les dernières violations de MGM et de Caesar's Palace en sont de parfaits exemples. Pour y remédier, nous devons aller au-delà de la prévention. La prévention peut échouer, d'autant plus que les humains sont souvent le maillon faible de la cybersécurité. Ma collègue m'a récemment raconté que son accès au compte super-administrateur de son ex-employeur n'avait été révoqué que six mois après son départ de l'entreprise. Imaginez ce que les attaquants peuvent faire. Nous avons besoin de visibilité sur le comportement des attaquants entre l'accès initial à l'identité et le moment où ils atteignent le joyau de la couronne. Nous devons détecter quand un compte à privilèges est ciblé et quand les attaquants se déplacent latéralement dans les environnements réseau et cloud .
Vectra AIL'IDR arrête les attaques avant qu'elles n'atteignent le joyau de la couronne
Vectra AILa solution IDR d'Alcatel-Lucent vous permet de détecter les menaces dans les environnements réseau (ActiveDirectory) et cloud (Azure AD et M365), offrant ainsi une visibilité hybride intégrée. Notre solution brevetée Privilege Account Analytics analyse les privilèges des comptes pour aider les analystes de sécurité à découvrir automatiquement les comptes les plus utiles aux attaquants et à s'y concentrer.
En réfléchissant à la conférence de trois jours, je me rends compte qu'un changement fondamental est nécessaire pour s'attaquer à la spirale du " plus ". Avec un état d'esprit minimum pour s'embarquer dans un voyage efficace de défense contre l'IA, j'espère que nous pourrons continuer à collaborer avec davantage d'équipes de sécurité pour empêcher les attaquants d'avoir un impact sur votre organisation.
Pour en savoir plus sur la façon dont Vectra AI peut vous accompagner dans votre démarche de cybersécurité, visitez notre page plateforme et demandez une démonstration dès aujourd'hui.
3 Étude de la main-d'œuvre en cybersécurité de l'ISC2 2021
4 Étude de l'ISC2 sur la main-d'œuvre dans le domaine de la cybersécurité 2022