Selon une étude récemment menée par AIMultiple, 90 % du personnel de sécurité informatique aux États-Unis et au Japon ont déclaré qu'ils anticipent une augmentation de ces campagnes d'attaques automatisées, en grande partie en raison de la disponibilité publique de la recherche sur l'IA, que de nombreux attaquants exploitent à des fins malveillantes.

De l'usage de l'IA par les cybercriminels

Premièrement, les attaquants peuvent utiliser l'IA pour accroître l'efficacité de leurs opérations. Il y a pléthore d'exemples d'IA aidant les acteurs de la menace à créer des vidéos et des courriels plus convaincants les uns que les autres, ce qui entraîne davantage de clics de la part des cibles.

Les attaquants peuvent également utiliser l'IA pour échapper à la détection et contourner les solutions de sécurité traditionnelles. AIMultiple a spécifiquement noté que l'utilisation de deepfakes dans les attaques peut permettre aux acteurs de la menace d'échapper aux solutions de sécurité biométrique, de passer sous le radar des protections des réseaux sociaux, et finalement d'accéder aux données d'entreprise d'une cible.

Deuxièmement, les acteurs malveillants peuvent utiliser l'IA pour identifier les opportunités potentielles d'attaque lors de la phase de reconnaissance. En raison de la quantité de données que les systèmes intelligents peuvent collecter et analyser de manière autonome, les outils alimentés par l'IA fournissent aux attaquants un moyen d'identifier les vulnérabilités des réseaux, des dispositifs et des applications d'une cible à grande échelle, parfois avant que les professionnels de la sécurité n'en soient informés.

En l'absence de solutions de surveillance en temps réel, ils peuvent alors être en mesure de se déplacer latéralement sur le réseau, d'exfiltrer des informations sensibles et d'augmenter les dommages globaux de l'attaque au-delà de ce qu'ils pourraient faire sans les capacités de l'IA. L'IA permet aux attaquants d'automatiser ces processus de sélection des cibles et de personnalisation de la séquence d'attaque en fonction des spécificités de la composition du réseau d'une cible, en déterminant des éléments tels que les systèmes d'exploitation utilisés, en détectant les sandbox et autres tactiques défensives, et en déterminant la bonne charge utile à délivrer.

Combattre l'IA par l'IA

En réponse à ces cas d'utilisation néfastes pour les attaquants, les organisations peuvent lutter contre les abus de l'IA avec des solutions axées sur l'IA. Ces dernières leur permettent de protéger leurs systèmes et leurs données contre les attaques automatisées, mais les solutions de sécurité traditionnelles qui s'appuient sur le triage et l'investigation manuels ne sont pas suffisantes. Prenons l'exemple des systèmes de gestion des événements et des informations de sécurité (SIEM). Ces outils peuvent aider les organisations à centraliser les informations sur les menaces dans leurs environnements. Cependant, les SIEM ont tendance à générer de gros volumes d'alertes et de faux positifs qui font perdre du temps aux professionnels de la sécurité et contribuent à la lassitude des alertes.

Les SIEM se contentent de signaler des menaces potentielles qui nécessitent une enquête humaine pour trouver des corrélations entre les alertes générées afin de déterminer s'il s'agit d'une menace réelle, puis de mettre en place une réponse manuelle.

Par conséquent, les équipes de sécurité doivent s'appuyer sur des processus manuels pour comprendre ce qui se passe dans leurs environnements, où les attaquants se déplacent à la vitesse de la machine en tirant parti de l'automatisation aux premiers stades de l'attaque - tout cela désavantage fortement les professionnels de sécurité.

Les solutions de détection et de réponse aux points d'extrémité (EDR) sont alors essentielles pour défendre les points d'extrémité qui constituent une part importante de la surface d'attaque d'une organisation, mais elles présentent également des lacunes. Bien que l'EDR soit nettement plus efficace pour détecter les menaces avancées que les solutions antivirus et antimalware traditionnelles, de nombreux attaquants ont fait évoluer leurs campagnes au-delà du ciblage des points d'extrémité, ou ont conçu leurs opérations pour minimiser l'activité des points d'extrémité, ce qui rend l'EDR inefficace. La solution EDR ne permet pas non plus de corréler les détections des points d'extrémité avec la télémétrie des actifs non liés aux points d'extrémité, tels que les suites d'applications, les profils d'utilisateurs et les charges de travail dans le cloud.

Le rôle du XDR alimenté par l'IA

Il convient alors d'opter pour une solution XDR (Extended Detection and Response) pilotée par l'IA. Elle étend la détection et la surveillance continues des menaces, ainsi que la réponse automatisée au-delà des points d'extrémité, pour fournir des corrélations profondément contextuelles avec la télémétrie des applications, des outils d'identité et d'accès, des charges de travail dans le cloud, conteneurisées, etc.

Le XDR ingère également des flux de renseignements sur les menaces pour permettre aux organisations de se défendre contre les attaques connues, et utilise l'IA et l'apprentissage automatique (ML) pour corréler automatiquement la télémétrie de ces différents actifs afin de fournir l'histoire complète de l'attaque en temps réel. Cette fonctionnalité évite aux analystes de sécurité de devoir trier chaque alerte générée, ce qui leur permet de s'attaquer plus rapidement aux menaces réelles.

De nombreuses organisations se tournent alors vers des outils alimentés par l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour permettre à leurs équipes d'automatiser le triage, l'investigation et les efforts de remédiation à l'échelle. Plus de la moitié (52 %) des dirigeants d'entreprises américaines ont déclaré à PwC qu'ils avaient accéléré leurs plans d'adoption de l'IA/ML, et un nombre encore plus important (86 %) a déclaré que l'IA/ML serait une " technologie courante " dans leurs environnements d'ici la fin 2022.

Qui plus est, l'IA/ML peut permettre aux équipes de sécurité de se débarrasser du flot constant d'alertes de menaces, ce qui permet aux professionnels de la sécurité de passer moins de temps à passer au crible les alertes et à chasser les faux positifs et de consacrer plus de temps à l'amélioration de la posture de sécurité globale de l'organisation.

Les technologies IA/ML excellent dans l'analyse d'ensembles de données à grande échelle avec un haut degré de précision pour identifier les événements suspects à une vitesse et un volume que l'analyse humaine manuelle ne pourra jamais égaler. L'avantage ici est d'automatiser la détection d'événements qui nécessitait auparavant une analyse humaine et de soulager les équipes de sécurité de la tâche fastidieuse de trier le signal du bruit.

Le XDR piloté par l'IA exploite également l'analyse comportementale et les indicateurs de comportement (IOB) pour fournir une perspective plus approfondie sur la façon dont les attaquants mènent réellement leurs campagnes. Cette approche centrée sur les opérations est bien plus efficace pour détecter les attaques plus tôt, en particulier les attaques très ciblées qui utilisent des outils et des tactiques jamais vus auparavant et qui échappent aux logiciels de sécurité des points d'extrémité traditionnels.

La découverte d'un composant d'une attaque par le biais de chaînes de comportements potentiellement malveillants permet aux experts en cybersécurité de voir l'ensemble de l'opération depuis la cause première jusqu'à chaque utilisateur, appareil et application touchés. C'est là que la technologie XDR pilotée par l'IA est essentielle pour corréler automatiquement les données à un rythme de millions d'événements par seconde, alors que les analystes interrogent manuellement les données pour valider les alertes individuelles pendant plusieurs heures, voire plusieurs jours.

Une telle visibilité permet aux équipes de sécurité de réagir à un événement avant qu'il ne devienne un problème de sécurité majeur et d'introduire des mesures conçues pour augmenter la charge des attaquants à l'avenir.

L'application de l'IA n'est pas une solution miracle et, dans un avenir prévisible, il faudra sans doute faire travailler ensemble des humains et des solutions basées sur l'IA. Néanmoins, il est déjà notable que l'IA améliore l'efficacité de chaque membre de l'équipe de sécurité et amplifie l'efficacité de l'ensemble de la pile de sécurité.