Votre prochain gardien de sécurité numérique devrait ressembler davantage à RoboCop

Cette introduction technique rédigée par le fournisseur a été modifiée par Network World pour éliminer la promotion des produits, mais les lecteurs doivent noter qu'elle favorisera probablement l'approche du soumissionnaire..

Les humains sont clairement incapables de surveiller et d'identifier toutes les menaces sur les réseaux vastes et complexes d'aujourd'hui à l'aide d'outils de sécurité traditionnels. Nous devons améliorer les capacités humaines en les augmentant avec l'intelligence artificielle. Mélanger l'homme et la machine - à certains égards, comme ce qu'a fait OmniCorp avec RoboCop - peut accroître notre capacité à identifier et à arrêter une menace avant qu'il ne soit trop tard.

Les outils «stupides» sur lesquels les organisations comptent aujourd'hui sont tout simplement inefficaces. Il y a deux choses cohérentes, mais toujours surprenantes, qui rendent cette incompétence assez apparente. Le premier est la durée pendant laquelle les pirates informatiques ont libre cours au sein d'un système avant d'être détectés: huit mois chez Premera et P.F. Chang's, six mois chez Nieman Marcus, cinq mois chez Home Depot, et la liste continue.

La deuxième surprise est la réponse. Tout le monde regarde généralement en arrière, essayant de comprendre comment les acteurs externes sont entrés. Trouver la fuite proverbiale et la boucher est évidemment important, mais cette approche ne traite qu'un symptôme au lieu de guérir la maladie.

La maladie, dans ce cas, est la faction croissante de pirates qui deviennent si bons dans ce qu'ils font qu'ils peuvent infiltrer un réseau et se déplacer librement, accédant à plus de fichiers et de données que même la plupart des employés internes ont accès. S'il a fallu des mois à Premera, Sony, Target et autres pour détecter ces mauvais acteurs dans leurs réseaux et commencer à colmater les trous qui les laissaient entrer, comment peuvent-ils être sûrs qu'un autre groupe n'a pas trouvé un autre trou? Comment savent-ils que d'autres groupes ne volent pas de données en ce moment? Aujourd'hui, ils ne peuvent pas savoir avec certitude.

La réponse typique

Jusqu'à récemment, les entreprises n'avaient vraiment qu'une seule option en réponse aux menaces croissantes, une réponse que la plupart des organisations utilisent encore. Ils renforcent les systèmes, les pare-feu à cliquet et les règles et seuils IDS / IPS, et mettent en place des politiques de proxy Web et VPN plus strictes. Mais en faisant cela, ils noyent leurs équipes de réponse aux incidents dans des alertes.

Le resserrement des politiques et l'ajout au nombre de scénarios qui déclencheront un drapeau rouge rend le travail plus difficile pour les équipes de sécurité déjà étirées. Cela provoque des milliers de faux positifs chaque jour, ce qui rend physiquement impossible d'enquêter sur chacun. Comme les récentes attaques de haut niveau l'ont prouvé, le déluge d'alertes aide les activités malveillantes à passer à travers les mailles du filet car, même lorsqu'elles sont «détectées», rien n'est fait à ce sujet..

De plus, le respect des règles et procédures de sécurité fait perdre du temps à tout le monde. De par leur conception, des politiques plus strictes restreindront l'accès aux données et, dans de nombreux cas, ces données sont ce dont les employés ont besoin pour bien faire leur travail. Les employés et les services commenceront à demander les outils et les informations dont ils ont besoin, perdant ainsi un temps précieux pour eux et les équipes IT / sécurité qui doivent examiner chaque demande.

Mettre RoboCop sur le boîtier

L'intelligence artificielle peut être utilisée pour contrôler des réseaux massifs et aider à combler les lacunes là où les ressources et les capacités disponibles de l'intelligence humaine sont clairement insuffisantes. C'est un peu comme laisser RoboCop surveiller les rues, mais dans ce cas, l'armement principal est les algorithmes statistiques. Plus précisément, les statistiques peuvent être utilisées pour identifier une activité anormale et potentiellement malveillante lorsqu'elle se produit.

Selon Dave Shackleford, analyste au SANS Institute et auteur de son enquête Analytics and Intelligence Survey de 2014, "l'un des plus grands défis auxquels les organisations de sécurité sont confrontées est le manque de visibilité sur ce qui se passe dans l'environnement". L'enquête auprès de 350 professionnels de l'informatique a demandé pourquoi ils ont du mal à identifier les menaces et une réponse majeure a été leur incapacité à comprendre et à établir un «comportement normal». C'est quelque chose que les humains ne peuvent tout simplement pas faire dans des environnements complexes, et comme nous ne sommes pas en mesure de distinguer un comportement normal, nous ne pouvons pas voir un comportement anormal.

Au lieu de s'appuyer sur des humains qui regardent des graphiques sur des écrans géants ou des règles et des seuils définis par l'homme pour lever des drapeaux, les machines peuvent apprendre à quoi ressemble un comportement normal, s'ajuster en temps réel et devenir plus intelligentes lorsqu'elles traitent plus d'informations. De plus, les machines possèdent la vitesse requise pour traiter la grande quantité d'informations que les réseaux créent et elles peuvent le faire en temps quasi réel. Certains réseaux traitent des téraoctets de données chaque seconde, tandis que les humains, en revanche, ne peuvent pas traiter plus de 60 bits par seconde.

Si l'on met de côté le besoin de vitesse et de capacité, un problème plus vaste avec la façon traditionnelle de surveiller les problèmes de sécurité est que les règles sont stupides. Ce n'est pas seulement des insultes, ils sont littéralement stupides. Les humains établissent des règles qui indiquent à la machine comment agir et quoi faire - la vitesse et la capacité de traitement ne sont pas pertinentes. Bien que les systèmes de surveillance basés sur des règles puissent être très complexes, ils sont toujours construits sur une formule de base «si ceci, alors faites cela». Permettre aux machines de penser par elles-mêmes et de fournir de meilleures données et informations aux humains qui en dépendent est ce qui améliorera vraiment la sécurité.

Il est presque absurde de ne pas avoir une couche de sécurité qui pense par elle-même. Imaginez dans le monde physique si quelqu'un traversait la frontière tous les jours avec une brouette pleine de saleté et que les agents des douanes, diligents dans leur travail et suivant les règles, passaient au crible cette saleté jour après jour, ne trouvant jamais ce qu'ils pensaient être à la recherche de. Même si cette même personne franchit à plusieurs reprises la frontière avec une brouette pleine de saleté, personne ne pense jamais à regarder la brouette. S'ils l'avaient fait, ils auraient rapidement appris qu'il volait des brouettes tout le temps!

Ce n'est pas parce que personne n'a dit aux agents des douanes de rechercher des brouettes volées que ça va, mais comme on dit, le recul est de 20/20. Dans le monde numérique, nous n'avons plus besoin de compter sur le recul, surtout maintenant que nous avons le pouvoir de mettre l'intelligence artificielle au travail et de reconnaître les anomalies qui pourraient se produire sous notre nez. Pour que la cybersécurité soit efficace aujourd'hui, elle nécessite au moins un niveau de base de renseignement. Les machines qui apprennent par elles-mêmes et détectent une activité anormale peuvent trouver le «voleur de brouette» qui pourrait lentement siphonner des données, même si vous ne savez pas spécifiquement que vous le recherchez..

La détection des anomalies fait partie des premières catégories technologiques où l'apprentissage automatique est utilisé pour améliorer la sécurité des réseaux et des applications. C'est une forme d'analyse de sécurité avancée, qui est un terme utilisé assez fréquemment. Cependant, ce type de technologie doit répondre à quelques exigences pour être véritablement considéré comme «avancé». Il doit être facilement déployé pour fonctionner en continu, contre un large éventail de types et de sources de données, et à des échelles de données énormes pour produire des informations de haute fidélité afin de ne pas ajouter à la cécité des alertes déjà confrontée aux équipes de sécurité.

Les principaux analystes conviennent que l'apprentissage automatique sera bientôt un «besoin d'avoir» afin de protéger un réseau. Dans un rapport de Gartner de novembre 2014 intitulé «Ajouter de nouvelles métriques de performance pour gérer les systèmes compatibles avec l'apprentissage automatique», déclare directement l'analyste Will Cappelli, «la fonctionnalité d'apprentissage automatique deviendra, au cours des cinq prochaines années, progressivement omniprésente et, dans le processus , modifier fondamentalement les performances du système et les caractéristiques de coût. »

Bien que l'apprentissage automatique ne soit certainement pas une solution miracle pour résoudre tous les problèmes de sécurité, il ne fait aucun doute qu'il fournira de meilleures informations pour aider les humains à prendre de meilleures décisions. Arrêtons de demander aux gens de faire l'impossible et laissons l'intelligence artificielle intervenir pour aider à faire le travail.

Prelert fournit Advanced Analytics for Threat Activity Detection. Prelert aide les organisations à détecter, enquêter et répondre rapidement aux activités de menace après violation avec une détection automatisée des anomalies d'apprentissage automatique.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.