L'IA est géniale, mais il faut encore des humains pour renforcer la cybersécurité

Lorsqu'il s'agit de protéger les ordinateurs et les systèmes d'information contre les cyberattaques, l'intelligence artificielle et l'apprentissage automatique peuvent aider, mais ils ne sont pas une panacée à un problème croissant.

Malgré l'engouement actuel pour l'IA et sa capacité croissante à surpasser les humains sur de nombreux fronts, ce n'est pas une solution miracle pour renforcer la cybersécurité, déclare Randy Watkins, directeur de la technologie chez Critical Start, Inc.

L'IA excelle dans la gestion d'énormes quantités de données, y compris les alertes sur d'éventuelles failles de sécurité. Le problème réside dans la façon dont il interprète cette information.

Les alertes sont traitées dans l'ordre dans lequel elles arrivent. Ensuite, ils sont classés par ordre de priorité et évalués pour le niveau de menace approprié. Les analystes humains, dotés d'une connaissance et d'une expérience approfondies de l'entreprise, sont doués pour placer chaque alerte dans son contexte approprié. Des machines, pas tellement. Un système basé sur l'IA peut détecter une activité utilisateur anormale, mais il est moins efficace pour déterminer si l'événement implique une intention malveillante.

"Je ne suis pas un opposant à tout ce qui concerne l'IA", déclare Watkins, "mais l'IA et l'apprentissage automatique n'ont pas la capacité d'appliquer une abondance de raison à ce qu'ils font."

Les machines ne sont pas particulièrement efficaces pour minimiser les faux positifs. Prenez PowerShell de Microsoft, un framework populaire pour l'automatisation des tâches. Une machine ne peut pas déterminer avec précision si un utilisateur donné de cet outil doit exécuter une commande à un moment donné. L'anomalie peut être ou non le résultat d'une attaque malveillante.

Le terme « apprentissage automatique » implique que le système s'améliore avec l'expérience, mais Watkins dit que la capacité est limitée. Entraîner l'algorithme à répondre de manière appropriée nécessite d'alimenter un grand nombre d'exemples précédents, à la fois bons et mauvais. Et cela ne résout toujours pas le problème des faux négatifs - des attaques réelles que le système rate. "Vous devez être en mesure d'éliminer les valeurs aberrantes qui vont fausser vos données", déclare Watkins.

Déterminer si un événement est malveillant ou non n'équivaut pas toujours à une réponse par oui ou par non. D'une part, les entreprises doivent déterminer à quel point elles souhaitent que le système soit sensible. Doit-il sonner l'alarme pour 100 % des événements apparemment anormaux ? Et environ 80 % ? Trop, et vous êtes inondé d'alertes et d'arrêts potentiels du système. Trop peu, et les brèches risquent de passer inaperçues.

« Lorsque vous introduisez plus de variables, vous avez besoin d'ensembles de données supplémentaires, de plus de contexte sur le sujet et le comportement [du système] », note Watkins. « Une fois que vous commencez à poser ces questions, la machine s'effondre. »

La détection efficace des cyberattaques dépend de la notation des risques cumulés, ce que les humains font bien. "Chaque fois que nous examinons un événement, nous décidons s'il est suspect", déclare Watkins. "Mais vous pouvez également appliquer la raison et les connaissances préalables sur la sécurité que les algorithmes n'ont pas.

« Une machine peut parcourir rapidement d'énormes quantités de données », poursuit-il. « Mais donnez-lui un concept abstrait comme le moindre privilège et appliquez-le à l'ensemble d'alertes – va-t-il reconnaître une élévation de privilèges ? Il y a beaucoup d'activités bénignes qui semblent malveillantes."

Il ne fait aucun doute que l'apprentissage automatique évoluera, même si les cyber-voleurs trouveront de nouvelles façons d'éviter la détection. Microsoft a fait des progrès dans l'amélioration de la sophistication des systèmes de détection automatisés, tout comme Palo Alto Networks, un leader mondial de la cybersécurité. "Mais à la fin de la journée", dit Watkins, "vous avez toujours besoin d'un humain pour dire:" Oui, mettez ce contrôleur de domaine hors ligne. "" Les entreprises s'efforcent constamment de minimiser le coût des temps d'arrêt du système causés par des alertes erronées.

Cela dit, il n'y a pas assez d'experts humains pour répondre au besoin de cybersécurité dans tous les secteurs. "Il y a définitivement un manque de talent dans l'industrie", déclare Watkins. D'où le virage vers un soutien extérieur, sous forme de détection et de réponse gérées.

La pénurie de talents n'est pas nouvelle. « Cela existe depuis que la sécurité existe », dit Watkins. Ce n'est qu'au cours des 10 dernières années que les entreprises et les universités ont commencé à prendre conscience de la nécessité d'une meilleure formation et éducation des futurs experts en cybersécurité.

Les humains et les machines ont du chemin à parcourir s'ils veulent collaborer à la sécurisation des systèmes vitaux contre la menace toujours croissante des cyberattaques. "Nous avons commencé à zéro alors que nous devions être à 60", dit Watkins. "Maintenant, nous devons être à 90, et nous sommes à 60."