Imaginez que vous disposiez d'un outil de sécurité qui pense comme vous lui avez appris à penser, qui agit quand et comme vous l'avez formé à agir. Plus besoin d'adapter vos habitudes de travail à des règles génériques rédigées par un tiers et de vous demander comment combler les lacunes de sécurité que les règles ne vous ont pas signalées.
L'apprentissage automatique, pierre angulaire de l'analyse du trafic réseau (NTA), est la technologie qui agit en votre nom pour accroître votre visibilité sur l'infrastructure, améliorer la détection des menaces actives et simplifier la reprise après les menaces qui comptent vraiment.
Nous avons été tellement endoctrinés par l'orientation déterministe des règles que nous en oublions souvent les limites. Les règles sont une cascade d'instructions IF...THEN...ELSE qu'un analyste crée pour suivre un chemin connu. Toute modification des règles, par exemple l'inclusion de nouvelles données opérationnelles ou la codification d'une nouvelle logique de détection des menaces, entraîne des charges administratives indésirables.
Pire encore, les déconnexions entre les règles codées en dur, les processus informatiques en évolution et les nouvelles menaces toujours créatives obligent les opérations de sécurité à faire face à des niveaux accrus de faux positifs et à des profils de sécurité imprécis. Avec des règles qui déclenchent des alertes à gauche, à droite et au centre, il est insensé de penser que les opérations de sécurité peuvent trouver et résoudre les problèmes les plus critiques.
L'apprentissage automatique, qu'il soit supervisé ou non, permet aux analystes humains d'automatiser les tâches manuelles et banales de leur travail, telles que la détection, le triage, la corrélation et l'évaluation des menaces. Cependant, il ne peut être efficace sans l'aide d'un être humain. Les analystes humains appliquent des connaissances contextuelles et une réflexion critique pour savoir si une détection est un véritable problème grâce à leurs connaissances. Votre travail serait tellement plus facile si seulement les outils de sécurité vous écoutaient !
Les scientifiques des données qui élaborent des algorithmes d'apprentissage automatique partent des résultats d'analystes humains qui déterminent "ceci est une menace, ceci est correct, ceci mérite une étude plus approfondie". Le scientifique des données travaille ensuite à rebours à partir des résultats donnés pour découvrir les relations dans les données, de sorte qu'un algorithme puisse automatiser votre approche de la chasse aux menaces pour collecter des données, détecter les menaces et remédier au problème.
L'apprentissage automatique automatise ce que vous, l'analyste de sécurité, lui avez appris, ce qui vous permet de passer à la résolution d'autres problèmes. Vous gardez toujours le contrôle, corrigeant et guidant l'outil d'apprentissage automatique pour qu'il vous rende plus efficace dans votre travail.
NTA applique l'apprentissage automatique aux données du réseau pour vous donner une visibilité, une détection et des pouvoirs de remédiation avancés. Il vous aide à voir exactement ce qui se passe dans votre environnement, quelles détections nécessitent une attention immédiate et quelles étapes de remédiation sont les plus acceptables pour les utilisateurs. Ce n'est pas de la magie ; vous enseignez à l'outil comment il envisage la sécurité à chaque étape du processus. Par exemple, des règles statiques peuvent déclencher des alertes lorsqu'elles constatent une augmentation du balisage et de l'activité DNS, suivie d'échanges de données importants vers de nouveaux serveurs dans un nouveau domaine cloud . Vous savez que ces alertes sont des faux positifs parce que votre entreprise déploie de nouvelles charges de travail d'application vers un fournisseur secondaire cloud .
Ou peut-être savez-vous qu'il s'agit d'une attaque, mais vous êtes le seul à pouvoir le savoir. Voulez-vous passer du temps à réécrire et à déboguer des règles ou préférez-vous simplement dire à votre outil NTA d'"apprendre cela maintenant" ? L'apprentissage automatique vous donne la possibilité de surveiller en permanence votre environnement opérationnel. Il met la technologie à contribution pour attirer votre attention sur des actions suspectes sans avoir à gérer des règles.
Par exemple, vous ne voulez pas imposer aux utilisateurs privilégiés des règles rigides qui les empêchent de faire leur travail. Cependant, vous pouvez demander à NTA de savoir quels utilisateurs privilégiés accèdent à quels serveurs, à quel moment, à partir de quel endroit et quels protocoles sont utilisés. En outre, vous pouvez guider votre outil de sécurité sur la manière d'agir lorsque des écarts sont détectés. Peut-être voulez-vous que l'utilisateur confirme qu'il souhaite continuer, peut-être voulez-vous que l'enregistrement granulaire des activités soit activé, peut-être le nouveau protocole n'est-il pas sûr et devrait-il être bloqué pour les actions administratives.
L'apprentissage automatique recueille des données opérationnelles dans votre environnement pour vous aider à comprendre quand des problèmes surviennent et à prendre des décisions rapides sur ce qu'il convient de faire. Et il le fait sans vous obliger à corriger continuellement les règles ou à définir des règles si larges qu'elles n'offrent qu'une fausse sécurité. Certains craignent que l'apprentissage automatique, l'intelligence artificielle et l'apprentissage profond soient destinés à remplacer les analystes de sécurité humains. Notre expérience montre que l'apprentissage automatique n'a fait que renforcer les capacités des analystes de sécurité.
Elles ont amélioré la productivité des analystes de la sécurité humaine et la satisfaction au travail, de la même manière que notre vie s'est améliorée grâce aux applications qui apprennent ce que nous aimons rechercher, à qui nous envoyons des messages et comment nous aimons voyager. Nous observons des tendances similaires dans notre vie professionnelle. En tant qu'analyste de sécurité, vous découvrirez un monde de nouvelles possibilités, car l'apprentissage automatique vous offre une occasion unique de mettre en valeur votre créativité, votre capacité à prendre des décisions et votre aptitude à tirer le meilleur parti de la technologie.