Page d'accueil>Lié à la programmation>Autre code source
Télécharger

Lecture : Exemples concrets de renseignements appliqués sur les menaces basés sur l'IA

Sélectionnez les onglets pour naviguer dans le contenu.

  • Introduction

  • Étude de cas : Google et Mandiant

  • Étude de cas : Microsoft

  • Étude de cas : IBM

  • Résumé

  • Ressources

Introduction

La mise en œuvre de l’IA dans le renseignement sur les menaces est devenue de plus en plus répandue dans des scénarios du monde réel, plusieurs entreprises notables ouvrant la voie. Cette leçon examine des études de cas d'organisations, notamment Google, Microsoft et IBM, pour montrer comment elles exploitent l'IA pour améliorer leurs capacités de renseignement sur les menaces.

Objectifs de la leçon

À la fin de cette leçon, vous serez en mesure de

  • Découvrez comment Google, Microsoft et IBM utilisent l'IA pour la veille sur les menaces

Étude de cas : Google et Mandiant

Google utilise l'IA pour analyser quotidiennement des milliards de signaux de sécurité afin d'identifier les menaces potentielles. La modélisation avancée permet aux clients de Google de créer des flux de travail complexes et des processus de réponse fiables et reproductibles. En combinant les solides ressources informatiques et d'analyse de données de Google combinées à des décennies de connaissances en matière de sécurité acquises grâce à l'acquisition de Mandiant en 2022, les clients peuvent détecter rapidement les indicateurs de compromission, réagir et atténuer les menaces.

Mandiant, réputé pour son expertise de première ligne et ses renseignements sur les menaces de pointe, est à l'avant-garde de la lutte contre les failles de sécurité depuis 18 ans. Avec l'acquisition de Mandiant, Google a également acquis les connaissances et l'expertise du domaine de plus de 900 consultants et analystes. Les solutions dynamiques de cyberdéfense de Mandiant offrent à Google une protection contre les cybermenaces et une équipe hautement qualifiée pour guider la gestion de la réponse aux incidents en cas de failles de sécurité et de cyberattaques.

La popularité du cloud computing ces dernières années a introduit différentes préoccupations dans le paysage de la cybersécurité. La nature interconnectée des environnements cloud nécessite des mesures de cybersécurité robustes pour protéger l'intégrité, la confidentialité et la disponibilité des données.

Les organisations comme Google Cloud doivent garantir la confidentialité des informations sensibles, se protéger contre les accès non autorisés, prévenir les violations de données et maintenir la conformité aux exigences réglementaires. De plus, ils doivent se défendre contre des menaces évolutives telles que les logiciels malveillants, les ransomwares, les attaques de phishing et les menaces internes qui ciblent les systèmes cloud.

Les conséquences d’une cybersécurité inadéquate dans le cloud peuvent être graves. Les violations peuvent entraîner des pertes financières importantes, des atteintes à la réputation, des implications juridiques et une perte de confiance des clients. De plus, comme les environnements cloud hébergent souvent des infrastructures et des services critiques, les perturbations ou les accès non autorisés peuvent avoir des conséquences considérables pour les entreprises et leurs clients. Pour relever ces défis, les organisations doivent donner la priorité aux mesures de cybersécurité adaptées au paysage du cloud computing. Cela inclut la mise en œuvre de solutions strictes de contrôle d’accès, de cryptage, de sécurité du réseau et de surveillance des menaces. Des évaluations de sécurité régulières, une analyse des vulnérabilités et une formation de sensibilisation des employés sont également essentielles pour identifier et atténuer efficacement les risques.

La collaboration entre Google Cloud et Mandiant permettra de fournir des renseignements et une expertise à grande échelle via la plateforme Mandiant Advantage Software-as-a-Service (SaaS), complétant le portefeuille de sécurité existant de Google Cloud. En combinant leurs forces, les deux organisations visent à avoir un impact significatif dans la sécurisation du cloud, en favorisant l'adoption du cloud computing et en favorisant un environnement numérique plus sûr.

Étude de cas : Microsoft

Security Copilot, qui abordera trois problèmes clés auxquels les analystes de sécurité sont confrontés :

  1. Complexité de l'attaque
    Les systèmes complexes peuvent être préjudiciables lors d’une attaque. En consolidant les données provenant de diverses sources et en les transformant en informations simples et pratiques, les analystes peuvent réagir aux incidents en quelques minutes plutôt que de subir des attaques prolongées.

  2. Tactiques d'évasion subtiles
    Face aux tactiques d'évasion subtiles employées par les attaquants, Copilot analyse rapidement les signaux à l'aide de l'apprentissage automatique. Il identifie les menaces à un stade précoce et obtient des conseils proactifs pour contrer efficacement les actions futures d'un attaquant.

  3. Manque de talents
    La pénurie de talents constitue un défi dans la mesure où la demande d’experts en sécurité qualifiés dépasse de loin l’offre. Copilot peut aider les équipes à maximiser leur efficacité et à améliorer leurs capacités grâce à des instructions détaillées, étape par étape, pour atténuer les risques.

Copilot s'efforce de combiner l'apprentissage automatique et l'intelligence humaine dans un système cohérent qui aide les organisations de toutes tailles à gérer efficacement les menaces à l'aide d'un service logiciel. Microsoft utilise l'IA pour suivre les activités des acteurs malveillants et évaluer le risque d'attaque en surveillant et en analysant les entrées des systèmes de détection, les entrées des clients et les données de réponse. Ensuite, les analystes du Microsoft Security Research Center (MSRC) peuvent vérifier et évaluer efficacement l'impact des soumissions de recherches indépendantes sur leur portail de bug bounty à l'aide d'outils d'IA et de ML, réduisant ainsi le fardeau de sécurité des organisations individuelles.

Avec Security Copilot, Microsoft permet aux équipes de sécurité, aux chasseurs de menaces et aux analystes de logiciels malveillants de leurs clients de collaborer en temps réel, d'enquêter sur les menaces et d'améliorer les temps de réponse en créant des playbooks et des procédures basés sur les incidents et réponses précédents.

Étude de cas : IBM

IBM exploite la puissance de la technologie Watson AI dans sa plateforme phare de gestion des incidents et des événements de sécurité (SIEM) avec une solution appelée QRadar Advisor.

Alors comment ça marche ? QRadar Advisor est un assistant IA qui aide les centres d'opérations de sécurité (SOC) à suivre un flot d'informations en enchaînant automatiquement différents incidents de manière à aider les analystes à avoir une vue d'ensemble et à ne pas ignorer un événement par erreur.

Un centre d'opérations de sécurité (SOC), également connu sous le nom de centre d'opérations de sécurité de l'information (ISOC), est une équipe de professionnels de la sécurité informatique qui travaillent en interne ou en externe pour surveiller l'ensemble de l'infrastructure informatique d'une organisation 24 heures sur 24. Leur objectif principal est d’identifier les incidents de cybersécurité en temps réel et d’y répondre rapidement et efficacement.

En automatisant les pratiques clés dans leur SOC, QRadar peut aider les organisations à relever ces défis courants :

  1. Plus de menaces et pas assez de temps pour les repérer – Des informations précieuses passent souvent inaperçues parce que les analystes ont du mal à relier les points. Il est donc difficile d’obtenir des informations exploitables, ce qui amène les analystes à se concentrer uniquement sur les cas pour lesquels ils ont confiance. Malheureusement, cette approche peut entraîner des enquêtes manquées et exposer l'organisation à des risques.

  2. Surcharge d'informations : le volume, la variété et la rapidité des informations à analyser rendent difficile la priorisation du travail et l'identification de la cause profonde des problèmes. Ce défi touche les entreprises de toutes tailles. Les analystes ont du mal à reconstituer rapidement le contexte local, ce qui les laisse submergés par des tâches répétitives.

  3. Temps d'attente - Le temps d'attente, qui fait référence à la durée entre l'apparition d'un incident de sécurité et sa détection et sa réponse, est une mesure importante sur laquelle s'appuient les experts en sécurité pour évaluer leur efficacité dans la sauvegarde et la défense des données. Plus précisément, deux mesures clés, à savoir le MTTD (temps moyen de détection) et le MTTR (temps moyen de réponse) , sont largement utilisées pour évaluer ce succès. Malgré la disponibilité d’un plus grand nombre de solutions et de données, le temps de séjour moyen peut aujourd’hui varier de 50 à 200 jours. Le manque d’enquêtes cohérentes et de haute qualité avec des informations contextuelles contribue à une rupture des processus existants, augmentant ainsi le risque pour les organisations.

  4. Pénurie de talents en cybersécurité et fatigue professionnelle - Les analystes en sécurité se retrouvent souvent surchargés de travail, en sous-effectif et débordés en raison de l'expansion du paysage des menaces et des tâches opérationnelles quotidiennes. À mesure que les données continuent de croître de façon exponentielle, le déficit de compétences se creuse et le problème va également s’aggraver.

Le principal avantage de l’automatisation de certaines parties de votre SOC est qu’elle rassemble et coordonne les outils de sécurité, les pratiques et la réponse aux incidents d’une organisation. Cette intégration conduit généralement à des mesures préventives améliorées, à des politiques de sécurité renforcées, à une détection plus rapide des menaces et à des réponses plus rapides, plus efficaces et plus rentables aux incidents de sécurité. De plus, un SOC peut renforcer la confiance des clients et simplifier la conformité aux réglementations sectorielles, nationales et mondiales en matière de confidentialité. La solution génère une réponse cohérente, en donnant la priorité aux alertes les plus graves et en mappant les actions d'un attaquant sur le cadre MITRE ATT&CK.

Le framework MITRE ATT&CK, développé par MITRE Corporation, est une base de connaissances complète qui répertorie les tactiques, techniques et procédures du monde réel utilisées par les attaquants lors de cyber-intrusions. Il offre une approche structurée et standardisée pour analyser les différentes étapes des attaques et couvre divers vecteurs de menace tels que les plates-formes réseau, points de terminaison, cloud et mobiles. ATT&CK consiste en une matrice organisant les tactiques et techniques des attaquants, fournissant un aperçu des objectifs et des méthodes. Largement utilisé par les professionnels de la cybersécurité, il améliore les capacités de détection et de réponse aux menaces, aidant ainsi les organisations à comprendre les tactiques des adversaires, à développer des défenses efficaces et à améliorer la cyber-résilience globale.

Résumé

La mise en œuvre de l’IA dans le renseignement sur les menaces a gagné en popularité, comme le démontrent les études de cas d’entreprises de premier plan telles que Google, Microsoft et IBM. D'autres fournisseurs de sécurité notables, tels que Cisco, CrowdStrike et Palo Alto, exploitent également les technologies d'IA et de ML pour améliorer la détection et stopper les attaques contre leurs clients. Ces organisations exploitent l’IA pour améliorer leurs capacités de renseignement sur les menaces, leur permettant ainsi d’analyser de grandes quantités de signaux de sécurité, de détecter les menaces potentielles et de réagir rapidement.

La collaboration entre Google et Mandiant associe les capacités d'analyse de données de Google à l'expertise de Mandiant, offrant des solutions avancées de cyberdéfense et des conseils de réponse aux incidents. L'outil basé sur l'IA de Microsoft, Security Copilot, aborde les complexités, les tactiques d'évasion et le manque de talents auquel sont confrontés les analystes de sécurité, facilitant ainsi une gestion proactive des menaces. IBM utilise la technologie Watson AI dans sa solution QRadar Advisor, automatisant les pratiques clés dans les centres d'opérations de sécurité (SOC) pour relever des défis tels que la surcharge d'informations, les temps d'attente et la pénurie de talents en cybersécurité. L'intégration de ces approches basées sur l'IA avec le cadre MITRE ATT&CK améliore encore la capacité des organisations à détecter, répondre et se défendre contre les cybermenaces, favorisant ainsi un environnement numérique plus sûr.

Au fur et à mesure des exercices de ce cours, réfléchissez à ces études de cas et à la manière dont les outils d'IA pourraient aider à relever certains de ces défis pour votre organisation.

Ressources

  • Informations sur les menaces de l'IA Google Cloud

  • Copilote de sécurité Microsoft IBM Security

  • Palo Alto Networks - La valeur de l'IA/ML dans les environnements de sécurité : aller au-delà du battage médiatique

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout