Au-delà du battage médiatique : comprendre la véritable valeur de l'IA/ML dans les environnements de sécurité

Par Matt Kraning, CTO, Cortex

L'intelligence artificielle (IA) et l'apprentissage automatique (ML) sont des termes qui sont entendus partout dans le paysage de la sécurité informatique aujourd'hui, car les organisations et les attaquants cherchent tous deux à tirer parti de ces avancées en matière de service de leurs objectifs. Pour les mauvais acteurs, il s'agit de briser les défenses et de trouver plus rapidement les vulnérabilités. Mais quelle valeur l'IA et le ML peuvent-ils offrir lorsque vous travaillez pour sécuriser une organisation ?

Ce serait formidable de dire que ces technologies sont une fin en soi pour votre cybersécurité et que le simple fait de les adopter signifie que votre organisation est entièrement protégée. Mais ce n'est pas si simple. Toutes les utilisations de l'IA et du ML ne sont pas égales. Et – alerte spoiler – il ne s'agit pas uniquement d'utiliser les derniers algorithmes. doit se concentrer sur le résultat ultime de la prévention de tous les types d'attaques possibles et de la réponse aussi rapide que possible à celles que vous ne pouvez pas. . En fait, il existe de nombreux cadres et modèles d'IA différents couramment utilisés aujourd'hui. De manière générale, ces cadres proviennent du milieu universitaire et sont des implémentations publiques open source accessibles à tous. Ce n'est donc pas le cadre de l'IA qui fait la différence. Ce qui différencie la manière dont l'IA est utilisée et les données dont elle dispose pour apprendre.

Qu'est-ce qui rend l'IA meilleure et plus intelligente pour la cybersécurité ?

Indépendamment de l'objectif, l'IA qui apprend à agir via la machine l'apprentissage a besoin de données de haute qualité et d'autant de données que possible pour être efficace. C'est grâce à cette abondance de bonnes données que l'IA parvient à comprendre les scénarios possibles. Plus il acquiert de données du monde réel, plus il devient intelligent et plus il peut exploiter son expérience.

Alors, réfléchissez à cela à travers le prisme de la cybersécurité. Apprendre à partir d'un seul déploiement ou vecteur de menace ne suffit pas. Ce qu'il faut, c'est une solution qui apprend de tous les déploiements et un outil qui exploite les informations de tous ses utilisateurs, et pas seulement d'une seule organisation. Plus le pool d'environnements et d'utilisateurs est grand, plus l'IA est intelligente. À cette fin, vous avez également besoin d'un système capable de gérer à la fois de gros volumes et différents types de données.

L'IA ne se limite pas à faire des calculs avec un ordinateur. Bien que les données soient un élément essentiel pour que l'IA soit efficace, l'IA et le ML eux-mêmes doivent également être intégrés aux processus opérationnels. L'IA et le ML ne doivent pas être considérés comme des technologies autonomes, mais plutôt comme des technologies habilitantes qui apportent de la valeur aux processus et aux opérations de sécurité. , ainsi que d'autres techniques intégrant des éléments tels que la connaissance du domaine pour fournir un système hybride. Les techniques statistiques dérivées uniquement du ML sont généralement incapables de s'adapter aux menaces nouvellement développées et inédites qui, par définition, n'ont que peu ou pas de statistiques de base associées. De même, l'expertise du domaine peut être exploitée pour créer une logique (souvent en partie dérivée d'une analyse de données à grande échelle) qui empêche et détecte efficacement les tactiques et techniques spécifiques des attaquants. à travers les déploiements. Ce dont nous avons besoin, c'est d'un système d'IA qui utilise les informations statistiques du ML ainsi que les informations axées sur le domaine d'autres parties du système qui peuvent se généraliser à de nouvelles attaques tout en maintenant des taux d'erreur constants et faibles pour tous.

La valeur réelle de l'IA et du ML. assurer la cybersécurité

À un niveau fondamental, bien utiliser l'IA et le ML dans la sécurité de votre organisation permet aux équipes du centre des opérations de sécurité (SOC) de faire beaucoup plus efficacement, avec moins de personnel. C'est un facteur multiplicateur qui renforce la capacité d'une organisation et permet de mettre les compétences des analystes au service du bon travail pour tirer parti de leur expérience. alerter une équipe des éventuelles anomalies. L'IA et le ML peuvent également être utilisés pour améliorer l'efficacité opérationnelle en identifiant les tâches les plus banales que les gens effectuent tout le temps. La technologie peut créer ou suggérer des manuels d'automatisation qui permettront d'économiser du temps et des ressources.

L'IA et le ML aident également à informer et à alimenter l'automatisation, qui est la clé de l'évolutivité dans des environnements où le personnel et les ressources sont toujours limités. Aujourd'hui, chaque SOC doit faire face à davantage de menaces plus sophistiquées, avec moins de personnel. En fin de compte, l'objectif de l'IA et du ML est d'aider à fournir un bon résultat de sécurité d'une manière qui utilise spécifiquement et rapidement des ressources très rares.

Comment l'IA et le ML peuvent améliorer les résultats de sécurité

Avec la sécurité opérations, il n'y a jamais qu'un seul problème à résoudre, mais plutôt une série de problèmes souvent couplés. L'IA et le ML aidant à améliorer l'automatisation et à supprimer les processus manuels dans les opérations de sécurité, il peut être possible d'empêcher davantage de risques de devenir des incidents de sécurité. Si vous prévenez davantage de risques, l'organisation peut réagir plus efficacement, car elle répondra à moins d'incidents de sécurité réels. outils en tant qu'attaquants, renforçant la posture de sécurité globale de votre organisation. le CTO de Cortex chez Palo Alto Networks. Il est un expert de l'optimisation à grande échelle, de la détection distribuée et des algorithmes d'apprentissage automatique exécutés sur des systèmes massivement parallèles. Avant de co-fonder Expanse, Matt a travaillé pour la DARPA, y compris un déploiement en Afghanistan. Matt est titulaire d'un doctorat et d'une maîtrise en génie électrique et d'un baccalauréat en physique, tous de l'Université de Stanford.