5 façons d'utiliser l'IA pour améliorer la sécurité : Réponse automatisée et augmentée aux incidents
Au cours des derniers mois, nous nous sommes intéressés à l'intelligence artificielle (IA) et son rôle dans la cybersécurité et l'accélération numérique. Si vous êtes passés à côté de ces articles, vous pouvez les trouver ici.
Aujourd'hui, nous examinons comment l'IA peut améliorer le processus de réponse aux incidents de cybersécurité. Avant de commencer, passons en revue les principes de base de la réponse aux incidents (RI).
En quoi consiste la réponse aux incidents ?
Bien qu'il soit techniquement correct de dire que la RI est une réponse à un incident, ce niveau de RI n'est pas suffisant pour la cybersécurité et ce n'est pas de cela que nous parlerons aujourd'hui. Nous parlons d'un niveau de RI supérieur qui constitue véritablement un domaine à part entière en matière de cybersécurité. Dans ce contexte, il est plus approprié de considérer la RI comme un ensemble complet de pratiques et de stratégies qui contribuent activement à la posture de sécurité de l'entreprise. Le marché mondial de la réponse aux incidents a été évalué à 23,45 milliards de dollars en 2021 et devrait atteindre un taux de croissance annuel composé (TCAC) de 23,55 % d'ici 2030.
La réponse aux incidents est un concept, un cadre, un ensemble de solutions et bien plus encore. La RI s'est développée parallèlement à Internet et à d'autres technologies numériques et est devenue une discipline structurée dans les années 1980 lorsque l'université Carnegie Mellon a créé les premières équipes d'intervention en cas d'urgence informatique (CERT). L'augmentation du nombre de cybermenaces a entraîné la création de CERT à tous les niveaux. Les entreprises, les municipalités et les pays ont mis en place leurs propres équipes d'intervention et, dans les années 2000, la fonction des RI a été reconnue comme essentielle. Les recommandations et directives du secteur en matière d'IR ont été publiées au début des années 2010 :
- Guide de gestion des incidents de sécurité informatique du National Institute of Standards and Technology (NIST) (publication spéciale 800-61)
- Manuel du gestionnaire d'incidents du SANS Institute
Les deux publications diffèrent à certains égards, mais toutes deux fournissent une structure complète pour une stratégie de RI :
Aspect |
Manuel du gestionnaire d'incidents SANS |
NIST SP 800-61 |
Présentation |
Guide pratique pour les professionnels de la réponse aux incidents. |
Guide complet pour la réponse aux incidents dans les organisations. |
Phases du cadre |
Six phases : préparation, identification, confinement, éradication, rétablissement, enseignements tirés. |
Quatre phases principales : Préparation, détection et analyse, confinement, éradication et rétablissement, activité post-incident. L'image ci-dessous montre comment ces quatre phases s'articulent. |
Préparation |
Mise en place et formation de l'équipe de réponse aux incidents, élaboration de plans de RI, sécurisation des outils et des ressources. |
Élaborer des politiques et des procédures, mettre en place une équipe chargée des RI, se doter des outils nécessaires, organiser des formations et des exercices. |
Détection et analyse |
Identification : détecter et confirmer les incidents, les catégoriser et les hiérarchiser. |
Surveillance continue, détection des incidents et confirmation, analyse de la portée et de l'impact des incidents. |
Isolation |
Mise en œuvre de stratégies de confinement à court et à long terme pour limiter l'impact. |
Mesures de confinement à court et à long terme pour isoler les systèmes affectés et prévenir d'autres dommages |
Éradication |
Élimination de la cause première des incidents, suppression des malwares et élimination des vulnérabilités. |
Identifier et éliminer la cause profonde, en veillant à ce que tous les artefacts malveillants soient supprimés. |
Réplication |
Rétablissement du fonctionnement normal des systèmes concernés, vérification de l'intégrité et de la sécurité. |
Rétablissement des systèmes et des services, vérification de leur fonctionnalité et de leur sécurité après un incident |
Activité post-incident |
Enseignements tirés : effectuer un examen post-incident pour améliorer les efforts d'intervention futurs. |
Activité post-incident : réaliser des examens, documenter les enseignements tirés, mettre à jour les plans et les procédures. |
Outils et techniques |
Des recommandations pratiques sur les outils et les techniques pour chaque phase, y compris des listes de contrôle et des modèles. |
Discussion approfondie sur les différents outils et technologies qui soutiennent la réponse aux incidents, y compris les outils médico-légaux et les systèmes de gestion des informations et des événements de sécurité (SIEM). |
Communication et coordination |
Souligne l'importance d'une communication claire au sein de l'équipe de réponse aux incidents et avec les parties prenantes externes. |
Stratégies pour une communication interne et externe efficace, coordination des efforts lors d'un incident. |
Amélioration continue |
L'accent est mis sur la formation régulière, les exercices et les mises à jour basées sur les enseignements tirés. |
Souligne la nécessité d'une amélioration continue par le biais d'examens réguliers, de mises à jour des politiques et d'une formation continue. |
Cas d'utilisation et exemples |
Comprend des exemples concrets et des études de cas pour illustrer les points clés |
Fournit des scénarios hypothétiques et des exemples pour expliquer les processus de réponse aux incidents. |
Les lignes directrices du NIST sont plus détaillées et mettent l'accent sur l'élaboration de politiques, une préparation complète et une amélioration continue. Le document vise à fournir un cadre détaillé que toute organisation peut intégrer à un programme de RI adapté. Le document SANS est plus pratique et vous aidera à mettre en œuvre votre programme de RI dans les plus brefs délais. Nous utiliserons les directives du NIST dans cet article.
Cycle de vie de la réponse aux incidents, NIST SP 800-61r2
La réponse aux incidents a d'abord été un domaine réactif et fragmenté, avant de se structurer et de se formaliser au fur et à mesure de la prolifération des menaces. La plus grande avancée a peut-être été la réponse collective au bug de l'an 2000 (passage à l'an 2000). Il s'agit d'un événement mondial important qui a attiré l'attention sur la réponse aux incidents et la gestion des risques. Le passage à l'an 2000 a permis le développement de meilleures pratiques, une collaboration intersectorielle et la création d'équipes RI formelles. Cet événement a également révélé l'importance des mesures proactives et de la détection précoce, de la prévention et de l'atténuation des menaces potentielles. Cette approche proactive est à la base de la RI moderne.
Chronologie de la réponse aux incidents et des améliorations de l'IA
L'explication la plus élémentaire de l'IA est qu'elle fait référence à des systèmes informatiques capables d'effectuer des tâches qui nécessitent normalement l'intelligence humaine. La prise de décision est un résultat clé, mais une IA forte nécessite également d'autres capacités cognitives. La perception visuelle, la reconnaissance vocale et la traduction linguistique sont des exemples de ce que peuvent exiger certaines applications améliorées par l'IA.
Plusieurs facteurs clés influencent la vitesse de l'innovation en matière d'intelligence artificielle. La puissance de calcul, la disponibilité des données, les plateformes de développement et la collaboration à source fermée ou ouverte en sont des exemples. Les progrès dans ces domaines permettent les progrès de l'IA. Voici une chronologie des facteurs d'innovation et des améliorations apportées par l'IA à la réponse aux incidents :
Décennie |
Facteurs clés |
Intégrations de l'IA dans les outils de réponse aux incidents |
Années 1990 |
- Puissance de calcul accrue (Loi de Moore [vidéo explicative animée]) - Développement de l'Internet - Disponibilité d'ensembles de données plus importants - Introduction des unités de traitement graphique (GPU) pour le traitement parallèle |
- Systèmes experts simples basés sur des règles pour la détection des menaces - Systèmes de détection précoce des anomalies - Outils d'analyse automatisés des journaux |
Années 2000 |
- Augmentation des données massives (big data) - Algorithmes améliorés - Infrastructure de cloud computing - Développement de bibliothèques open source |
- Les plateformes de gestion des informations et des événements de sécurité (SIEM) intègrent l'apprentissage automatique. - Systèmes de détection d'intrusion (IDS) dotés de composants d'apprentissage automatique - Les premières plateformes de renseignement sur les menaces basés sur l'IA
|
Années 2010 |
- Disponibilité d'ensembles de données massives - Progrès dans le matériel de traitement - Développement de cadres d'apprentissage profond (deep learning) - Augmentation des investissements dans la recherche et le développement de l'IA |
- Des plateformes d'orchestration, d'automatisation et de réponse à la sécurité (SOAR) font leur apparition - Outils avancés de détection et d'analyse des menaces basés sur l'IA - L'analyse du comportement des utilisateurs et des entités (UEBA) s'appuie sur l'IA pour modéliser le comportement. - L'apprentissage automatique est intégré aux solutions de détection et de réponse (EDR) des terminaux |
Années 2020 |
- Les avancées de l'informatique quantique - Des puces d'IA améliorées et du matériel spécialisé - Collaboration accrue entre le milieu universitaire et l'industrie - Focus sur l'IA éthique et les cadres réglementaires |
- Capacités de réponse autonome basées sur l'IA - Intégration de grands modèles linguistiques (LLM) dans les outils de RI - Renseignements prédictifs sur les menaces basés sur l'IA - Cryptographie résistante à l'informatique quantique avec des composants d'IA - IA explicable pour l'analyse et la création de rapports d'incidents |
L'IA et la réponse aux incidents
L'e-book récemment publié par Barracuda identifie trois fonctions de RI qui sont considérablement améliorées par l'IA :
Automatiser l'identification des incidents : l'IA peut identifier, classer et hiérarchiser les incidents de sécurité en fonction de leur gravité et de leur impact potentiel sur l'organisation. L'identification des incidents vise à détecter ces menaces le plus tôt possible afin d'en atténuer l'impact et de protéger les actifs de l'organisation. Le triage automatisé des incidents accélère les premières étapes de la réponse aux incidents et permet aux équipes de sécurité de se concentrer d'abord sur les incidents les plus critiques. Cette fonction repose sur des algorithmes d'apprentissage automatique, la détection d'anomalies et l'analyse prédictive.
Orchestration et automatisation des guides : un manuel de réponse aux incidents, ou runbook, est un ensemble détaillé et prédéfini de procédures et d'instructions qui guident la réponse d'une organisation à des incidents de cybersécurité spécifiques. Les termes playbook et runbook sont souvent utilisés de manière interchangeable, bien que les runbooks soient plus détaillés et incluent souvent les actions exactes correspondant à des procédures spécifiques. L'orchestration est la coordination et la gestion automatisées des outils et des systèmes de sécurité afin de rationaliser et d'optimiser les processus de réponse aux incidents. Dans le domaine de la réponse aux incidents, l'IA automatisera les tâches de routine telles que le blocage des adresses IP malveillantes et l'isolement des systèmes compromis. Le travail manuel et les temps de réponse sont réduits.
Augmenter l'efficacité des équipes des centres d'opérations de sécurité (SOC) : les SOC peuvent considérablement améliorer les capacités de cybersécurité en intégrant l'IA. Un SOC est une installation centralisée dotée d'une équipe de sécurité qui surveille en permanence le niveau de sécurité d'une entreprise. L'objectif principal de l'équipe SOC est de détecter, d'analyser et de répondre aux incidents de cybersécurité en utilisant une combinaison de solutions technologiques et de processus robustes. Les playbooks sont des outils essentiels pour les SOC. L'intégration de l'IA améliore la détection des menaces en analysant les modèles et les anomalies qui indiquent des attaques assistées par l'IA, garantissant ainsi que les défenses évoluent en même temps que les menaces émergentes. Cela permet aux SOC de créer des mécanismes de défense flexibles qui adaptent constamment leurs stratégies de sécurité à temps pour lutter contre ces menaces avancées.
Vous aimez cet article ?
Voici la quatrième partie sur cinq d'une série basée sur un nouvel e-book intitulé Sécuriser demain : Guide du RSSI sur le rôle de l'IA dans la cybersécurité. Ce nouvel e-book explore les risques de sécurité et présente les vulnérabilités que les cybercriminels exploitent avec l'IA pour faire évoluer leurs attaques et améliorer leurs taux de réussite. Obtenez dès maintenant votre exemplaire gratuit de l'e-book et consultez ces articles connexes :
- L'évolution de l'intelligence artificielle
- Série : 5 façons dont les cybercriminels utilisent l'IA
- Série : 5 façons d'utiliser l'IA pour renforcer la sécurité
- Série : Guide du RSSI sur le rôle de l'IA dans la cybersécurité
- Cudathon : Récompenser les talents et explorer l'IA générative
- Comment l'intelligence artificielle modifie le paysage des menaces
Saviez-vous que…
Le SOC mondial à plusieurs niveaux de Barracuda est structuré pour fournir une couverture 24 h/24, 7 j/7, 365 j/an, quel que soit votre emplacement. Notre équipe d'analystes de sécurité travaille avec des runbooks et des processus bien documentés, ainsi que des outils clés, tels que les Security Information and Event Management (SIEM), Threat Intelligence Platform (TIP) et Security Orchestration, Automation et Response (SOAR), pour garantir une détection et une correction plus rapides. Pour plus d'informations, consultez notre site Web.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
