Les fournisseurs de solutions de sécurité parlent d'"intelligence artificielle" (IA) et d'"apprentissage machine" (ML) avec une telle désinvolture que, pour de nombreux praticiens, ces termes ont perdu leur sens. Pire encore, certains font des promesses exagérées au point de discréditer l'espace dans son ensemble. (Je pense notamment à un fournisseur qui se targue d'une détection et d'une réponse entièrement autonomes).
Malgré la surenchère, une vérité simple demeure : l'IA est un outil incroyablement puissant qui aide les équipes de sécurité à trouver et à stopper les attaques modernes à un stade précoce. Cela inclut la capacité à stopper les attaques par ransomware et ransomOps qui sont aujourd'hui au cœur de l'actualité.
Dans cette série de blogs, nous irons au-delà des mots à la mode pour expliquer les fondements, les méthodologies et, surtout, les résultats qu'offrent la détection et la réponse aux menaces basées sur l'IA.
Au-delà des mots à la mode
"L'IA, c'est de la merde, mais la ML, c'est génial". Ce sentiment n'est pas rare. Mais que signifient ces termes, pourquoi et en quoi sont-ils différents ?
L'expression "intelligence artificielle" a été inventée dans les années 1950 pour décrire tout système capable de se rapprocher de la pensée humaine. L'IA générale désigne un agent intelligent capable d'apprendre toutes les tâches intellectuelles qu'un être humain peut accomplir. Pensez à HAL 9000 dans "2001 : l'Odyssée de l'espace". Nombreux sont ceux qui adoptent directement cette définition, mais elle reste aujourd'hui presque entièrement confinée aux laboratoires de recherche.
Pratiquement toutes les applications commerciales sont des applications de l'IA, qui résolvent un problème spécifique, par exemple la traduction d'une langue, la conduite d'une voiture, la reconnaissance d'un visage ou la détection d'une menace pour la sécurité. Toute l'IA de sécurité est de l'IA appliquée.
Les systèmes d'IA peuvent être construits à l'aide de diverses techniques. Certains des premiers systèmes, appelés systèmes experts, étaient essentiellement des instructions CASE géantes. Aujourd'hui, l'approche la plus courante pour construire l'IA est l'apprentissage automatique - des algorithmes qui examinent un ensemble de données et apprennent à faire des prédictions sur les données nouvellement arrivées.
Il existe un très grand nombre d'algorithmes et de techniques de ML différents. Aucune technique n'est intrinsèquement meilleure qu'une autre - tout dépend du problème à résoudre et des données disponibles. En fait, nous utilisons plus de 50 techniques de ML différentes dans nos produits, chacune d'entre elles étant choisie pour optimiser les résultats en matière de sécurité pour nos utilisateurs.
Les techniques d'apprentissage supervisé s'appuient sur des données étiquetées. Entraînez-le avec un groupe d'images étiquetées "chats" et "chiens" et il pourra déterminer si une image qu'il n'a pas encore vue est celle d'un chat ou d'un chien.
Les techniques d'apprentissage non supervisé sont utiles et nécessaires lorsque l'on ne dispose pas de données étiquetées. Les techniques non supervisées trouvent une structure dans les données, en regroupant des éléments similaires même si elles ne peuvent pas les étiqueter. Entraînez-le avec un tas de photos d'animaux et il regroupera les lions, les zèbres et les ours, même s'il ne sera pas en mesure de dire ce que sont ces groupes.
Pourquoi Vectra utilise-t-il le terme "IA" ?
Toutes les IA ne sont pas des ML, et toutes les ML ne sont pas des IA. Où se situe donc la limite ? À un certain niveau, la distinction est discutable, mais ce qui compte vraiment, ce sont les résultats en matière de sécurité. Toutefois, puisque nous avons opté pour l'utilisation de l'IA, nous allons l'expliquer.
C'est très simple : notre système intègre l'expertise de nos chercheurs et analystes en sécurité. Le système "pense" comme eux. C'est le cœur de notre méthodologie axée sur la sécurité. Pour chaque modèle de détection, un chercheur en sécurité définit d'abord l'énoncé du problème, c'est-à-dire la méthode d'attaque que nous devons être en mesure de trouver. Les modèles sont ensuite spécifiquement conçus à partir de la base - des données, à l'algorithme, aux résultats afin de trouver avec précision la méthode d'attaque. Lorsque nous créons des algorithmes de hiérarchisation, ils sont conçus pour reproduire les appels de priorité que notre équipe d'analystes effectue lors de l'examen des incidents.
Tous les systèmes n'adoptent pas cette approche. En fait, nous ne connaissons aucun autre fournisseur qui procède de cette manière. C'est coûteux et difficile, mais nous sommes convaincus que c'est le meilleur moyen d'obtenir les résultats que nos clients méritent. Et nous sommes fiers de l'appeler "AI".
Dans notre prochain blog, nous approfondirons la méthodologie de détection afin d'opposer l'approche unique de Vectra, axée sur la sécurité, à l'approche mathématique de l'anomalie de base utilisée par d'autres fournisseurs.
En attendant, vous pouvez voir comment nous procédons avec la plateforme Vectra AI .