_
Pourquoi utiliser l’IA dans la détection réseau ?
L’intelligence artificielle se trouve au cœur des tendances technologiques et tend à révolutionner le milieu de la cybersécurité. Elle est parfaitement adaptée pour se défendre des cybermenaces les plus complexes et néfastes dans un environnement en rapide évolution. C’est un réel support pour les analystes cyber car elle leurs permet de conserver une longueur d’avance sur les attaquants.
Mais comment est-elle utilisée dans la détection réseau ? Pourquoi devient-elle indispensable pour garantir une efficacité de détection ?
Faisons le point ensemble.
L’intelligence artificielle en quelques mots
De manière large, nous pouvons définir l’IA comme un « agent capable de percevoir son environnement et de s’adapter en vue d’un objectif spécifique », explique **William RITCHIE, CTO et Datascientist chez Custocy.
En Cybersécurité, l’IA prend majoritairement deux formes : la détection d’anomalies et la classification de menaces.
La détection d’anomalies tente de définir un comportement normal à partir de données observées puis de mettre en avant des données qui sortiraient de ce comportement normal. On les associe souvent avec une catégorie d’IA qu’on appelle les IAs non supervisées.
Elles sont nommées ainsi car elles ne sont pas entraînées à partir de données étiquetées par un être humain.
Elles sont capables d’analyser de manière autonome des statistiques et de définir ce qui correspond à un comportement normal. Mais en réalité, ces IAs ont tout de même besoin d’un peu de supervision. Il faut souvent les aider à définir des seuils, des types de statistiques et des comportements pour optimiser leur détection et ceci se fait souvent avec des données qui sont étiquetées.
Toutefois, une fois ces paramètres optimisés, ces IAs sont censées pouvoir fonctionner sans intervention humaine.
La classification de menaces utilise quant à elle des données d’attaques avérées pour entraîner des IAs. Ces IAs s’entraînent sur des données étiquetées. Ce sont donc des IAs supervisées.
Elles sont capables de reconnaître et de classifier des attaques sur lesquelles elles se sont entraînées avec beaucoup plus de précision que les IAs non supervisées. Toutefois, elles peuvent difficilement détecter des attaques sur lesquelles elles ne se sont pas entraînées, notamment les attaques inconnues (zero-day).
L’intelligence artificielle, une technologie performante
En tirant parti de l’intelligence artificielle pour automatiser la détection des menaces, les entreprises peuvent réagir plus rapidement et plus efficacement aux attaquants qu’en utilisant des logiciels traditionnels. Mais surtout, elles peuvent anticiper les attaques futures et ainsi garder une longueur d’avance.
Premièrement, les IAs sont capables de mettre en relation une quantité de facteurs qui dépassent les capacités cognitives d’un être humain.
Un réseau de neurones, par exemple, est capable de trouver des centaines de millions de liens existants dans des données pour prendre des décisions. Des décisions qui seront prises en quelques millisecondes. Là où un être humain n’est pas en mesure de le faire.
Deuxièmement, il est plus difficile pour un acteur malveillant de prédire et de contourner les prédictions d’une intelligence artificielle. Il faudrait pour ce faire que cet acteur ait accès à l’architecture exacte de l’IA, une connaissance précise des données du client et de l’ensemble des jeux de données d’entraînement. Une tâche quasiment impossible à faire.
L’intelligence artificielle permet donc d’aller bien au-delà des capacités humaines et de détecter efficacement des menaces de nouvelle génération.
Une meilleure détection de son réseau informatique
L’information échangée dans les réseaux est hétérogène et en constante évolution. Les nombreux protocoles des couches réseaux et des couches applicatives génèrent des données aux caractéristiques variées.
Traditionnellement, les menaces sont détectées grâce à des règles fixes. Ces règles peuvent par exemple établir qu’un flux réseau sur un protocole spécifique et dont la taille est inférieure à un certain seuil est suspect. Cet exemple de règle ne prend en compte que les deux facteurs « protocole du flux » et « taille du flux » alors que des relations plus complexes peuvent impliquer des dizaines voire des centaines d’autres facteurs combinés.
Trouver ces combinaisons est impossible pour un être humain, là où l’IA va performer.
De plus, ces règles sont écrites « à la main » et ne peuvent ni couvrir toutes les possibilités d’activité malveillantes ni évoluer dans le temps. Enfin, il ne faut pas oublier que les cybercriminels ont accès à ces règles et peuvent adapter leurs attaques en fonction. Si nous reprenons l’exemple ci-dessus, il suffit à l’attaquant d’ajuster la taille du flux pour passer au-dessus du seuil de détection de la règle.
L’intelligence artificielle détecte, quant à elle, bien au-delà des règles les comportements anormaux.
Son intégration dans une solution NDR permet de bénéficier d’une visibilité totale de son réseau informatique, de détecter en temps réel des attaques actives et d’épargner les analystes d’une avalanche d’alertes inconséquentes et superflues. L’IA va analyser les activités malveillantes et alerter uniquement en cas de menaces dangereuses, ce qui permet un gain de temps non négligeable dans la gestion de la sécurité.
Un atout phare de la détection des menaces par IA dans le réseau est la capacité à suivre toutes les étapes d’une attaque depuis les phases de reconnaissances jusqu’à l’exécution finale. L’intelligence artificielle devient alors un réel support pour les analystes cyber.
Custocy utilise une technologie unique d’intelligence artificielle
Les attaquants utilisent une multitude de procédures et de tactiques pour pénétrer un système. Ces procédures peuvent être très courtes, comme l’envoi d’un fichier malicieux, ou très étendue dans le temps , comme une exfiltration de données qui peut durer des semaines.
Pour détecter ces différents cas de figure, nous avons développé plusieurs IAs qui sont chacune spécialisée dans la détection à des échelles de temps différentes. Elles sont orchestrées par notre IA maîtresse, le METALEARNER, qui centralise les réponses de ces IAs spécialisées pour donner une réponse finale à l’analyste.
C’est grâce à ce regroupement de multiples IAs que notre solution Custocy génère peu de fausses alertes et que nous avons l’une des IAs les plus compétitives du marché.
Cette technologie est unique et développée par nos équipes en interne.
L’IA n’a pas d’impact sur le système informatique
Il nous est souvent demandé si l’utilisation de l’intelligence artificielle tend à ralentir le système informatique. La réponse est non.
Les IAs font leur analyse sur un cloud qui peut « scale » sans ralentissement ou latence. De plus, les données utilisées par notre solution Custocy ne représentent qu’une fraction des données du flux réseau, même pas 1/100.
Ainsi, la collecte et l’analyse de données ne risque pas d’impacter le réseau surveillé.
Curieux de découvrir notre solution NDR ? Réservez votre créneau de démo, c’est 100% gratuit !👉ICI.
