L'article suivant est une transcription d'un entretien récent avec Ed Amoroso, fondateur et PDG de TAG Infosphere et Mark Wojtasiak, vice-président des produits chez Vectra AI , discutent de la façon dont les organisations peuvent utiliser la bonne approche de l'IA pour se défendre avec succès contre les attaques hybrides d'aujourd'hui.
Ndlr : Peu d'entreprises de cybersécurité ont une expérience aussi approfondie de l'application de l'intelligence artificielle (IA) à la cybersécurité que Vectra AI. Elles ont développé une forte capacité à utiliser l'IA pour détecter avec précision les cyberattaques, enquêter et lancer une réponse - ce qui correspond clairement aux besoins de la plupart des organisations modernes qui cherchent à améliorer leurs défenses et donc leur résilience face aux attaques.
Nous avons récemment passé du temps avec l'équipe de Vectra AI pour mieux comprendre comment elle utilise l'IA pour accélérer la détection et l'atténuation de la cybersécurité et comment ses clients dépendent de plus en plus de l'IA en tant qu'élément essentiel de leur défense contre les attaques automatisées.
Ed : Comment la plateforme de Vectra AIplateforme pilotée par l'IA améliore-t-elle la capacité des organisations à détecter les cybermenaces et à y répondre en temps réel ?
Mark : Nous envisageons cette question de la manière la plus élémentaire qui soit. Au fond, la capacité d'une organisation à détecter les cybermenaces et à y répondre en temps réel se résume à trois questions : Pouvons-nous la voir ? Pouvons-nous l'arrêter ? À quelle vitesse pouvons-nous la voir et l'arrêter ? Avec des surfaces d'attaque qui ne cessent de s'étendre, des méthodes d'attaque qui évoluent, l'émergence de nouvelles menaces et une avalanche d'alertes, les méthodes traditionnelles de détection et de réponse aux menaces sont excessivement manuelles, complexes et sujettes à la latence. De plus, la pénurie de ressources et de compétences SOC n'a fait qu'empirer les choses et lorsqu'on se demande à quelle vitesse on peut les voir et les arrêter, la réponse est loin d'être assez rapide. La réponse est loin d'être assez rapide.
Nous partons d'un principe qui sert de base à notre plateforme d'IA: les entreprises modernes sont hybrides, et toutes les attaques sont donc des attaques hybrides. Nous soutenons que dans l'entreprise hybride moderne, les attaques hybrides rendent inefficaces les approches traditionnelles de détection et de réponse aux menaces. Pour les équipes SOC, détecter une attaque hybride revient à trouver l'aiguille dans une pile d'aiguilles. La seule façon de trouver l'aiguille est de penser comme un attaquant hybride. Aujourd'hui, nous pensons que nous avons des surfaces d'attaque individuelles à gérer - points finaux, réseaux, identités, nuages, applications de messagerie, etc. Intégrée est le mot clé et notre plateforme est conçue pour donner aux défenseurs une vue intégrée en temps réel des attaques sur l'ensemble de la surface d'attaque hybride. Cela supprime la complexité et la latence dans les processus de détection, d'investigation et de réponse et réduit considérablement la charge de travail des analystes SOC.
Ed : Pouvez-vous nous donner des précisions sur les techniques et méthodologies d'IA employées par Vectra AI pour analyser le comportement des réseaux et identifier les activités malveillantes ?
Mark : L'approche Vectra AI de la détection des menaces associe l'expertise humaine à un vaste ensemble de techniques de science des données et d'apprentissage automatique avancé. Ce modèle fournit un cycle continu de renseignements sur les attaques basé sur la recherche en sécurité, les modèles d'apprentissage globaux et locaux, l'apprentissage profond et les réseaux neuronaux. En utilisant des algorithmes de détection comportementale pour analyser les métadonnées des paquets capturés, notre IA de cybersécurité détecte les attaques cachées et inconnues en temps réel, que le trafic soit crypté ou non. Notre IA n'analyse que les métadonnées capturées dans les paquets, plutôt que d'effectuer une inspection approfondie des paquets, afin de protéger la vie privée des utilisateurs sans s'immiscer dans les charges utiles sensibles.
L'apprentissage global commence avec les Vectra AI Threat Labs, un groupe à plein temps d'experts en cybersécurité et de chercheurs sur les menaces qui analysent en permanence malware, les outils, les techniques et les procédures d'attaque pour identifier les tendances nouvelles et changeantes dans le paysage des menaces. Leur travail alimente les modèles de science des données utilisés par notre équipe. Attack Signal IntelligenceLes modèles de science des données utilisés par notre équipe de recherche sont basés sur les données de la base de données, y compris l'apprentissage automatique supervisé. Il est utilisé pour analyser de très grands volumes de trafic d'attaques et les distiller jusqu'aux caractéristiques clés qui rendent le trafic malveillant unique.
L'apprentissage local identifie ce qui est normal et anormal dans le réseau d'une entreprise afin de révéler des schémas d'attaque. Les principales techniques utilisées sont l'apprentissage automatique non supervisé et la détection des anomalies. Vectra AI utilise des modèles d'apprentissage automatique non supervisé pour connaître l'environnement spécifique d'un client, sans supervision directe d'un scientifique des données. Au lieu de se concentrer sur la recherche et le signalement d'anomalies, Vectra AI recherche des indicateurs de phases importantes d'une attaque ou de techniques d'attaque, y compris des signes indiquant qu'un attaquant explore le réseau, évalue les hôtes en vue d'une attaque et utilise des informations d'identification volées.
Notre moteur de hiérarchisation piloté par l'IA combine des milliers d'événements et de caractéristiques de réseau en une seule détection. À l'aide de techniques telles que la corrélation d'événements et la notation d'hôtes, notre IA établit une corrélation entre tous les événements de détection et des hôtes spécifiques qui présentent des signes de comportements menaçants. Nous évaluons ensuite automatiquement chaque détection et chaque hôte en termes de gravité et de certitude de la menace à l'aide de notre propre indice de certitude de la menace.
Enfin, nous suivons chaque événement dans le temps et à chaque étape du cycle de vie d'une cyberattaque en nous concentrant sur les entités qui ont une valeur stratégique pour un attaquant.
Ed : Qu'est-ce qui distingue Vectra AI dans le domaine de la cybersécurité pilotée par l'IA, en particulier en termes d'évolutivité et d'adaptabilité à l'évolution des menaces ?
Mark : Je dirais que c'est notre approche. Il y a dix ans, nous avons créé une méthodologie fondée sur cinq principes fondamentaux de l'IA appliquée à la cybersécurité :
1. Commencez par formuler le bon problème.
2. Les bonnes données.
3. Créer une compétence en ingénierie ML.
4. Débloquer l'innovation ML grâce à la plateforme.
5. Valider et améliorer en permanence.
Notre méthodologie est ancrée dans l'intégration de la recherche en sécurité, de l'ingénierie ML - la combinaison de la science des données et de l'ingénierie - et de l'UX axée sur une mission : utiliser l'IA pour trouver des signaux d'attaque à l'intérieur des données à la vitesse et à l'échelle. Nous disposons de plus de 150 modèles couvrant les réseaux neuronaux, la ML supervisée, la ML non supervisée et la détection de nouveautés, 12 références pour MITRE D3FEND - plus que tout autre fournisseur - et un effet de réseau composé de plus de 1500 clients qui valident et améliorent en permanence nos détections d'IA pour les techniques d'attaque existantes et les nouvelles que nous découvrons. Dans certains cas, nous avons identifié de nouvelles techniques d'attaque et développé des détections avant qu'elles ne soient publiées dans MITRE ATT&CK ce qui signifie que nos clients bénéficient d'une couverture continue des nouvelles techniques d'attaque sans aucun travail d'ingénierie de détection.
Ed : Comment Vectra AI garantit-il un minimum de faux positifs et de faux négatifs dans ses algorithmes de détection des menaces alimentés par l'IA ?
Mark : Nous pensons que la détection et la réponse à ce que nous appelons les attaques hybrides en temps réel ne peuvent se faire qu'avec l'IA. L'IA est le seul moyen de fournir aux équipes SOC ce dont elles ont besoin : un signal intégré et précis sur les attaques hybrides, à la vitesse et à l'échelle. Nous l'appelons notre Attack Signal Intelligence et il utilise l'IA pour analyser, trier et corréler des milliers d'événements de détection par jour couvrant les réseaux, les identités, les nuages et les applications SaaS. Au lieu de délivrer des milliers d'alertes sur des événements de menace individuels, notre plateforme d'IA délivre des alertes à un chiffre par jour sur des entités prioritaires - hôtes et comptes - attaquées.
En termes simples, notre IA répond aux trois questions que les analystes SOC se posent chaque jour devant leur écran : Cette menace est-elle réelle ? Dois-je m'en préoccuper ? Et quel est le degré d'urgence ? En d'autres termes, cela vaut-il la peine que j'y consacre mon temps et mon talent ? L'un de nos clients l'a très bien exprimé en disant : "La plateforme Vectra AI aide nos ingénieurs et nos analystes à éliminer l'ambiguïté de leur journée et à se concentrer sur ce qui est important".
Notre méthode est simple. Nous tirons parti de nos détections IA préconstruites, basées sur le comportement et spécifiques à un domaine pour faire connaître les attaques inconnues. Nous utilisons l'IA pour intégrer et automatiser la corrélation des événements de menace afin d'éliminer le temps de latence de l'ingénierie de détection. Et surtout, nous utilisons l'IA pour faire passer l'expérience de l'analyste d'une détection des menaces centrée sur l'événement à une hiérarchisation des signaux centrée sur l'entité, réduisant ainsi le bruit et la charge de travail, et maximisant ainsi la valeur des talents SOC existants.
Ed : À l'avenir, quel rôle pensez-vous que l'IA jouera dans la défense de la cybersécurité, et comment Vectra AI est-il positionné pour mener cette évolution en cours ?
Mark : Comme je l'ai dit précédemment, aujourd'hui, la détection et la réponse aux attaques hybrides en temps réel ne peuvent se faire qu'avec l'IA. Nous voyons l'avenir comme un SOC entièrement piloté par l'IA. La première phase de l'évolution concerne l'utilisation de l'IA appliquée à la défense proactive - de l'identification des comportements émergents des attaquants à la détection et à la hiérarchisation des entités au début d'une campagne d'attaque. Nous pensons que notre approche AI/ML - notre site Attack Signal Intelligence et notre moteur de hiérarchisation centré sur les entités - est à l'avant-garde de ce mouvement.
Selon moi, la deuxième phase du SOC piloté par l'IA consistera à utiliser l'IA générative pour la défense prescriptive liée aux enquêtes sur les menaces et à la réponse. C'est déjà le cas avec l'adoption par les fournisseurs et l'utilisation des LLM pour aider les analystes SOC à réduire la charge de travail et à accélérer les délais d'investigation. Potentiellement, l'IA pourrait être poussée plus loin et prescrire, voire prendre les mesures de réponse appropriées pour contenir ou isoler l'attaque. Vectra AI a choisi de se concentrer d'abord et avant tout sur la fourniture du signal d'attaque le plus intégré et le plus précis. Nous soutenons que plus le signal d'attaque est précis, plus l'application des LLM pour une investigation et une réponse efficaces est convaincante.
Je considère que la troisième phase de l'évolution du SOC est l'IA pour la défense prédictive. Compte tenu de notre compréhension des comportements des attaquants - notre site Attack Signal Intelligence combiné à notre approche et à l'effet de réseau dont nous bénéficions de la part de nos plus de 1500 entreprises clientes, Vectra AI est bien placé pour mener et innover dans le domaine de la défense prédictive basée sur l'IA.
Vous pouvez obtenir plus d'informations sur TAG et Vectra AI en téléchargeant le rapport gratuit : Tag Security Annual 2023 : Special Reprint Edition