On nous pose beaucoup de questions sur l'IA. Principalement sur la cybersécurité. La plupart du temps. On me pose parfois la question suivante : "Alors, quand l'IA va-t-elle prendre en charge votre travail ?". Mais je peux confirmer que c'est bien moi qui ai écrit ce billet. Quant au prochain...
Mais les acheteurs de sécurité sont intelligents. Et si l'on considère que les équipes de sécurité des entreprises peuvent gérer jusqu'à 70 outils de sécurité dans la pile, il y a beaucoup de revendications autour de l'IA qui devraient amener les équipes de sécurité à demander des comptes aux vendeurs.
Et comme l'IA est au cœur de tout ce que nous faisons en tant qu'entreprise depuis plus d'une décennie, nous avons compilé une liste de questions ci-dessous que vous pouvez utiliser pour vous faire une idée de l'efficacité des fournisseurs qui prétendent que l'" IA " sera dans votre pile de données. Et puisque vous le demandez, oui, elle peut vous faciliter le travail (plus d'informations à ce sujet ci-dessous), non, vous n'avez pas à la nourrir (bien qu'elle assimile l'information à un rythme incroyablement rapide), et oui, elle fait un excellent compagnon quotidien dans le SOC.
1. Utiliser l'IA pour générer un signal d'attaque intégré
Question : Comment utilisez-vous l'IA pour détecter et stopper les cyberattaques, en particulier les attaques hybrides?
Importance: Quoi qu'en disent certains vendeurs, il n'existe pas d'algorithme ou de modèle d'apprentissage unique capable de résoudre tous les problèmes, mais plutôt des algorithmes optimaux pour chaque problème qui, dans le domaine de la cybersécurité, génère un signal d'attaque.
Vous voulez découvrir comment un fournisseur vous aidera à faire face aux cyberattaques, et cela se résume à la clarté du signal. Son signal d'attaque est-il axé sur les TTP des attaquants après la compromission ? Comment ? Analysera-t-il les schémas de détection propres à votre environnement ? Comment ? Et mettra-t-il en corrélation les détections sur toutes les surfaces d'attaque actuelles et futures - réseau, cloud, identité, SaaS, etc.
> Apprenez à différencier l'IA, Machine Learning et l'intelligence artificielle. Deep Learning
2. L'IA mise en correspondance avec les techniques d'attaque pertinentes
Question : Comment votre signal d'attaque piloté par l'IA détecte-t-il les comportements des cyberattaquants ?
Importance : En posant cette question, vous serez en mesure de mieux comprendre comment l'IA travaillera dans les coulisses de votre environnement pour détecter et hiérarchiser les attaques. Vérifiez si la couverture est large pour les comportements des attaquants tels que le commandement et le contrôle, les mouvements latéraux, la reconnaissance, etc.
Il existe des ressources utiles que les défenseurs peuvent utiliser pour s'assurer qu'ils sont couverts par les tactiques et techniques les plus récentes des attaquants. L'une d'entre elles est MITRE ATT&CK - une base de connaissances accessible à tous sur les méthodes de l'adversaire. Il ne s'agit là que d'un moyen parmi d'autres, mais vous pouvez demander aux fournisseurs comment leurs détections se situent par rapport à MITRE ATT&CK. Par exemple, Vectra Attack Signal Intelligence couvre plus de 90 % des techniques pertinentes de MITRE ATT&CK - à partir de là, nous pouvons montrer aux clients comment notre IA est capable de détecter une méthode particulière.
Vous pouvez voir comment les méthodes des attaquants réels sont détectées et hiérarchisées dans l'une de nos anatomies d'attaque.
Ou à lire sur le sujet :
> Le choix d'un algorithme optimal en Machine Learning
3. Hiérarchisation des risques
Question : Comment les menaces ciblant les hôtes et les comptes à haut risque sont-elles classées par ordre de priorité afin que les analystes sachent ce qui est urgent ?
Importance: Les équipes SOC reçoivent en moyenne 4 484 alertes par jour. Elles n'ont pas besoin de plus d'alertes, mais plutôt d'un moyen de savoir lesquelles sont importantes. La bonne hiérarchisation de l'IA aidera les analystes à savoir où concentrer leur temps.
Poser cette question permet de déterminer comment fonctionne le modèle de hiérarchisation d'un fournisseur. Vous voudrez savoir quelles sources de données sont prises en compte dans l'équation, ce qui vous aidera également à déterminer le degré de transparence et d'ouverture d'un fournisseur quant à ses algorithmes et à la manière dont il parvient à un score de menace. Il est possible de découvrir comment l'IA met en corrélation les détections de menaces sur différentes surfaces d'attaque et comment elle les évalue pour créer une note d'urgence qu'un analyste peut utiliser à son avantage et, en fin de compte, hiérarchiser les risques les plus urgents.
4. Efficacité de l'analyste
Question : Comment votre IA va-t-elle réduire la charge de travail de mes analystes de sécurité ?
Importance : Une étude récente surVectra AI a révélé qu'une majorité d'analystes SOC déclarent que la taille de la surface d'attaque de leur organisation (63 %), le nombre d'outils de sécurité (70 %) et d'alertes (66 %) qu'ils gèrent ont augmenté de manière significative au cours des trois dernières années.
Lorsqu'il s'agit de détecter des menaces, votre IA ne doit pas se contenter de fournir davantage de détections de menaces. Qu'allons-nous faire avec les plus de 4 000 alertes que nous recevons déjà chaque jour - en ajouter d'autres ? Non, merci. Nous devrions plutôt mettre l'IA à contribution. Un signal d'attaque piloté par l'IA peut automatiquement trier et hiérarchiser les détections propres à votre environnement, ce qui peut réduire considérablement le bruit des détections/alertes (jusqu'à 80 %) tout en générant une évaluation de l'urgence de l'attaque afin que votre SOC soit armé pour faire ce qu'il fait le mieux : stopper les attaques, et non traiter les alertes.
5. Enquête et réaction
Question : Comment l'IA va-t-elle aider mon équipe à enquêter et à répondre aux incidents de manière plus efficace ?
Importance: La latence est le meilleur ami des attaquants hybrides. Votre solution d'IA devrait donner une longueur d'avance aux analystes en partageant le contexte des attaques sur les entités priorisées avec des options automatisées et manuelles pour la réponse.
Vous avez déjà des processus de réponse aux incidents qui comprennent des personnes, des processus et de la technologie. L'IA devrait s'intégrer à votre processus de réponse aux incidents - là où votre équipe travaille actuellement. La bonne solution d'IA fournira un point de départ et des conseils pour les investigations, soit par le biais de sa propre interface, soit au sein des outils existants (de préférence les deux), afin que vous disposiez du récit complet de l'attaque pour prendre des mesures intelligentes en cas de besoin.
6. Intégration de la pile
Question : Comment la solution s'intégrera-t-elle à mon système de sécurité actuel ?
Importance: Comprenez comment le signal d'IA sera intégré à vos investissements existants en matière de sécurité. Serez-vous en mesure de l'exploiter là où votre équipe opère déjà ?
Tout comme les fournisseurs doivent être tenus responsables de l'efficacité de leur signal, ils doivent également s'assurer que chaque aspect du processus de mise en œuvre est couvert afin de le rendre aussi clair et transparent que possible. En ce qui concerne plus particulièrement la détection et la réponse aux menaces, votre solution d'IA doit apporter de l'intelligence à l'infrastructure existante et permettre à votre équipe de répondre plus facilement aux menaces urgentes, tout en contribuant à maximiser les investissements actuels.
7. Équipe rouge et tests d'intrusion
Question : Proposez-vous des exercices en équipe rouge ou des services de test de pénétration pour valider davantage votre signal d'attaque ?
Importance: Les essais en conditions réelles sont essentiels pour valider l'efficacité de l'IA. La confiance des fournisseurs devrait aller jusqu'à couvrir les coûts des tests si leur produit n'est pas assez performant.
Toute technologie d'IA utilisée pour la détection et la réponse aux menaces doit comprendre les TTP utilisées par les attaquants hybrides d'aujourd'hui. L'un des meilleurs moyens de savoir si la solution est à la hauteur est de simuler des attaques hybrides réelles en émulant des méthodes d'attaque à la fois courantes et sophistiquées. Plus le signal d'attaque hybride est précis, plus les analystes SOC savent où concentrer leur temps et leur talent.
8. Opérationnaliser l'IA
Question : À quoi peut-on s'attendre du point de vue de la mise en œuvre, de l'expérience des analystes et de l'investissement ?
Importance: Discutez avec les vendeurs de la réussite de votre équipe dans ces trois domaines.
Comprendre la courbe d'apprentissage des membres de l'équipe qui utiliseront l'outil. Les outils de détection et de réponse aux menaces, tels que XDR, sont régulièrement cités comme étant trop compliqués. Un analyste ne devrait pas avoir à travailler pour obtenir des réponses, au contraire. Une bonne solution est une solution qui est utilisée, alors assurez-vous qu'elle s'intégrera dans le flux de travail du SOC, ce qui contribuera à en faire un bon investissement.
9. Les services gérés dans le SOC hybride d'aujourd'hui
Question : Quelles sont les charges de travail de notre SOC actuel qui peuvent être déchargées ?
Importance : Selon Gartner, d'ici 2025, 90 % des SOC du G2000 utiliseront un modèle hybride en externalisant au moins 50 % de leur charge de travail opérationnelle.
Si la charge de travail des analystes SOC continue d'augmenter, quelle partie de leur travail peut être confiée à un service géré ? Nous avons vu comment l'IA aide les équipes SOC à réduire les temps de latence et les charges de travail en produisant un signal de menace de haute qualité, mais en ayant la possibilité d'ajouter des services gérés à ce signal, vous pouvez vous décharger de tâches telles que la surveillance des menaces 24x7x365, le réglage et le triage des détections ou d'autres tâches qui prennent du temps aux analystes, tout en bénéficiant d'une extension de votre équipe avec des experts de l'IA et de la plateforme.
L'IA se traduit-elle par un signal d'attaque intégré dans votre SOC ?
L'IA nous a certainement assaillis à toute vitesse au cours des deux dernières années avec toutes sortes de revendications - dans de nombreux cas de la part de fournisseurs qui se sont engouffrés dans la brèche parce qu'ils ne peuvent pas se permettre de ne pas avoir un pied dans le sol. Mais en posant les bonnes questions, il est possible d'identifier les fournisseurs qui ne seront qu'un outil de plus dans la pile ou ceux qui peuvent réellement aider les défenseurs à surmonter les défis liés aux attaques hybrides, tels que la latence, les charges de travail et l'épuisement du SOC. Il est de la responsabilité du fournisseur de fournir le signal d'attaque qui vous aidera à stopper les attaques.