Suivez nous sur

Le partenariat homme-IA dans l'EDR : renforcer les équipes de cybersécurité grâce à l'intelligence artificielle

Des leaders d'opinion

Le partenariat homme-IA dans l'EDR : renforcer les équipes de cybersécurité grâce à l'intelligence artificielle

mm
Publié

Les cyberattaques sont de plus en plus fréquentes et complexes et les entreprises ont du mal à suivre le rythme. Des équipes de sécurité hautement qualifiées travaillent jour et nuit pour repérer et arrêter les intrus numériques, mais la bataille semble souvent perdue. Les pirates informatiques semblent toujours avoir l'avantage.

Cependant, il y a une lumière au bout du tunnel. Une nouvelle vague d'intelligence artificielle pourrait faire pencher la balance en faveur des défenseurs. En utilisant des programmes d'auto-apprentissage comme alliés numériques, les analystes en sécurité peuvent renforcer leurs efforts de protection des réseaux et appareils des entreprises, sans investir des ressources supplémentaires considérables.

L’un des domaines de la cybersécurité où l’IA a un impact majeur est la détection et la réponse aux points d’extrémité (EDR). Il s’agit essentiellement d’un système d’alerte précoce contre les attaques, surveillant de près les ordinateurs, les téléphones et les autres points d’extrémité pour détecter les signes subtils d’une cyberattaque en préparation. Dès que quelque chose semble anormal, l’EDR sonne l’alarme pour que des experts humains puissent enquêter. Il peut même prendre des mesures de base comme isoler les appareils compromis pour gagner du temps.

Mais l'EDR basé sur l'IA remplacera-t-il complètement et éliminera-t-il le besoin d'intervention humaine ? La réponse est simple : non. Comme nous le constatons dans de nombreuses applications d'IA, les meilleurs résultats semblent être obtenus lorsque l'IA et les humains travaillent ensemble, et non l'un au lieu de l'autre. Voyons pourquoi c'est le cas.

La promesse d'un EDR basé sur l'IA

EDR Les outils EDR sont devenus des armes essentielles pour identifier, analyser et remédier aux attaques en constante évolution sur un grand nombre d'appareils. Aujourd'hui, de nombreuses plateformes EDR de premier plan exploitent l'intelligence artificielle pour augmenter les capacités humaines, améliorant ainsi la précision et l'efficacité.

Grâce à des algorithmes d'apprentissage automatique supervisés formés sur des montagnes de données sur les menaces, l'EDR alimenté par l'IA peut :

  • RepĂ©rez des modèles et des comportements d’attaque jamais vus auparavant. En analysant les Ă©vĂ©nements système et en comparant de vastes ensembles de donnĂ©es, l'IA dĂ©tecte des anomalies que les analystes humains pourraient manquer. Cela permet Ă  votre Ă©quipe d'identifier et de bloquer les attaques furtives invisibles aux autres outils.
  • Fournir un contexte grâce Ă  une enquĂŞte automatisĂ©e. L'IA peut instantanĂ©ment retracer l'Ă©tendue d'un incident, en recherchant des signes de compromission dans votre environnement. Cela rĂ©duit le travail fastidieux des analystes pour comprendre les causes profondes.
  • Donnez la prioritĂ© aux incidents les plus critiques. Toutes les alertes ne requièrent pas le mĂŞme niveau d’urgence, mais il peut ĂŞtre difficile de faire la diffĂ©rence entre les alertes triviales et les alertes graves. Les Ă©valuations de l’IA mettent en Ă©vidence les menaces les plus dangereuses pour attirer l’attention humaine.
  • Recommander des rĂ©ponses optimales adaptĂ©es Ă  chaque attaque. En fonction des spĂ©cificitĂ©s des souches de logiciels malveillants, des vulnĂ©rabilitĂ©s exploitĂ©es et bien plus encore, l’IA suggère les meilleures actions de confinement et de correction pour Ă©liminer la menace avec une prĂ©cision chirurgicale.

L’augmentation de l’IA permet aux analystes de travailler plus intelligemment et plus rapidement en prenant en charge une grande partie des tâches lourdes de détection des menaces, d’enquête et de recommandations. Cependant, l’expertise humaine et la pensée critique restent essentielles pour relier les points.

L'élément humain : jugement, créativité, intuition

Si l'IA est très efficace pour traiter les données, les analystes humains apportent des atouts essentiels à la défense des terminaux, dont les machines manquent. Les humains offrent trois capacités cruciales :

Évaluation équilibrée

L’IA peut parfois signaler des événements inoffensifs comme suspects, provoquant de fausses alertes, ou passer à côté de menaces réelles. Mais les experts humains peuvent utiliser leur expérience et leur bon sens pour évaluer ce que l’IA trouve. Par exemple, si le système identifie à tort une mise à jour logicielle normale comme malveillante, un analyste peut la vérifier et corriger l’erreur, évitant ainsi des perturbations inutiles. Cette évaluation humaine équilibrée permet une détection plus précise des menaces.

Résolution créative de problèmes

Les pirates informatiques modifient constamment leurs programmes malveillants pour déjouer les systèmes d’IA, souvent conçus pour détecter les menaces connues. Mais les analystes humains peuvent sortir des sentiers battus et identifier des menaces nouvelles ou subtiles en se basant sur de petites anomalies. Lorsque les pirates informatiques changent de tactique, les analystes peuvent élaborer de nouvelles règles de détection créatives basées sur de minuscules anomalies dans le code, des informations que les machines auraient du mal à détecter.

Voir la vue d'ensemble

Protéger des réseaux complexes implique de prendre en compte de nombreux facteurs changeants que les algorithmes ne peuvent pas pleinement prendre en compte. Lors d'une attaque sophistiquée, le jugement humain devient crucial pour prendre des décisions importantes, comme isoler les systèmes ou négocier une rançon. Si l'IA peut suggérer des options, la perspective humaine reste nécessaire pour orienter la réponse et minimiser l'impact sur l'entreprise.

Ensemble, l'intelligence humaine et l'IA constituent une défense puissante capable de détecter les cyberattaques avancées que d'autres systèmes pourraient manquer. L'IA traite les données rapidement, tandis que le raisonnement humain comble les lacunes. En travaillant ensemble, les personnes et l'IA renforcent la protection des terminaux.

Optimiser l'équipe de sécurité homme-IA

Voici quelques conseils pour vous aider Ă  tirer le meilleur parti de votre EDR amĂ©liorĂ© par l'IA avec des Ă©quipes dirigĂ©es par des humains :

  • Faites confiance aux Ă©valuations de l’IA, mais vĂ©rifiez-les. Exploitez les dĂ©tections de l'IA pour Ă©valuer rapidement les incidents, mais validez les rĂ©sultats par une recherche manuelle avant d'agir. Ne vous fiez pas aveuglĂ©ment Ă  chaque alerte.
  • Utilisez l’IA pour vous concentrer sur l’expertise humaine. Laissez l’IA gĂ©rer les tâches rĂ©pĂ©titives telles que la surveillance des points de terminaison et la collecte des dĂ©tails sur les menaces afin que les analystes puissent consacrer leur Ă©nergie Ă  des efforts Ă  plus forte valeur ajoutĂ©e tels que la planification de la rĂ©ponse stratĂ©gique et la chasse proactive.
  • Donnez votre avis pour amĂ©liorer les modèles d’IA au fil du temps. L’ajout d’une validation humaine au système (confirmation des vrais/faux positifs) permet aux algorithmes de s’autocorriger pour devenir plus prĂ©cis. L’IA apprend de la sagesse humaine au fil du temps.
  • Collaborez quotidiennement avec l'IA. Plus les analystes et l'IA travaillent ensemble, plus les deux parties apprennent, amĂ©liorant ainsi leurs compĂ©tences et leurs performances. L'utilisation quotidienne enrichit les connaissances.

Tout comme les cyber-adversaires exploitent l’automatisation et l’intelligence artificielle pour mener leurs attaques, les défenseurs doivent riposter avec un arsenal basé sur l’intelligence artificielle. La sécurité des terminaux, alimentée à la fois par l’intelligence artificielle et humaine, constitue le meilleur espoir de sécuriser notre monde numérique.

Lorsque l'homme et la machine unissent leurs forces et exploitent leurs capacités complémentaires pour déjouer et déjouer n'importe quel adversaire, il n'y a aucune limite à ce que nous pouvons accomplir ensemble. L'avenir de la cybersécurité est arrivé – et c'est un partenariat homme-IA.

Défis liés à l'adoption d'un EDR augmenté par l'IA

La mise en Ĺ“uvre de l’IA pour la surveillance de la sĂ©curitĂ© semble intĂ©ressante en thĂ©orie. Mais pour les Ă©quipes dĂ©jĂ  Ă  court de ressources, la mise en Ĺ“uvre peut s’avĂ©rer compliquĂ©e dans la pratique. Les gens sont confrontĂ©s Ă  toutes sortes d’obstacles lors du dĂ©ploiement de cette technologie avancĂ©e, de la comprĂ©hension du fonctionnement des outils Ă  l’arrĂŞt 

Ă©puisement de l'alarme.

La complexité

Les analystes en sĂ©curitĂ© qui utilisent quotidiennement les outils EDR ne sont pas toujours des ingĂ©nieurs de formation. S'attendre Ă  ce qu'ils comprennent intuitivement les intervalles de confiance, les taux de prĂ©cision, l'optimisation des modèles et autres notions d'apprentissage automatique ? C'est un dĂ©fi de taille. Sans une formation claire et concise pour dĂ©mystifier ces concepts, les fonctionnalitĂ©s de l'IA ne sont jamais mises Ă  profit pour dĂ©tecter les acteurs malveillants.

Noyade dans les faux positifs

Au début, en particulier, certains outils d’IA ont exagéré en matière d’étiquetage des menaces. Soudain, les analystes ont commencé à être submergés par des centaines d’alertes peu fiables chaque semaine, dont beaucoup étaient fausses. Les signaux critiques étaient alors noyés dans le bruit. Se sentant dépassées, de nombreuses équipes pouvaient finir par ignorer complètement les alertes. Les outils doivent être optimisés et peaufinés afin de trouver un équilibre en termes de sensibilité.

Les outils de la boîte noire

Les réseaux neuronaux fonctionnent comme des impénétrables boîtes noires. Étant donné que la logique derrière les scores de risque et les recommandations reste opaque, les employés ont du mal à faire confiance à un système automatisé pour prendre les décisions. Pour que l’IA gagne en crédibilité auprès de ses collègues humains, elle doit leur permettre de jeter un œil sous le capot suffisamment pour comprendre son raisonnement – ​​mais ce n’est pas toujours possible avec la technologie actuelle.

Plus qu'une solution miracle

L'introduction de nouveaux outils d'IA ne suffira pas. Pour exploiter pleinement cette technologie, les équipes de sécurité doivent améliorer leurs processus, leurs compétences, leurs politiques, leurs indicateurs et même leurs normes culturelles afin de s'y adapter. Déployer l'IA clé en main sans faire évoluer l'organisation reviendrait à anéantir définitivement tout ce potentiel de changement.

Mot de la fin

L'IA apporte une large gamme d'outils passionnants et les défenses contre les menaces de cybersécurité. Bien que ce soit une bonne nouvelle, une grande partie de ces avancées restera potentielle tant que les équipes d'IA et d'humains ne pourront pas travailler ensemble en harmonie, en tirant parti des atouts de chacun. L'EDR est un domaine de la cybersécurité qui repose particulièrement sur un partenariat harmonieux entre l'intelligence des machines et l'expertise humaine.

Bien entendu, il y a une courbe d’apprentissage dans les deux sens. Les systèmes d’IA doivent mieux transmettre leur logique interne à leurs coéquipiers humains en termes transparents qu’ils peuvent comprendre et utiliser. Le fait de résoudre le problème du rapport signal/bruit dans les systèmes d’alerte précoce contribuera également à éviter la fatigue des analystes et leur désintérêt.

Rubriques connexes:
mm

David Balaban est un chercheur en sécurité informatique avec plus de 17 ans d'expérience dans l'analyse des logiciels malveillants et l'évaluation des logiciels antivirus. David court MacSecurity.net ou Confidentialité-PC.com des projets qui présentent des opinions d'experts sur des questions contemporaines de sécurité de l'information, y compris l'ingénierie sociale, les logiciels malveillants, les tests d'intrusion, les renseignements sur les menaces, la confidentialité en ligne et le piratage de chapeau blanc. David a une solide expérience dans le dépannage des logiciels malveillants, avec un accent récent sur les contre-mesures contre les ransomwares.