Une nouvelle ère de cybersécurité avec l’IA : prévisions pour 2024

L’intelligence artificielle (IA) est un enjeu de la cybersécurité depuis plusieurs années maintenant, mais l’adoption généralisée des grands modèles linguistiques (LLM) a fait de 2023 une année particulièrement passionnante. En fait, les LLM ont déjà commencé à transformer l’ensemble du paysage de la cybersécurité. Cependant, cela génère également des défis sans précédent.

D’une part, les LLM facilitent le traitement de grandes quantités d’informations et permettent à chacun de tirer parti de l’IA. Ils peuvent fournir une efficacité, une intelligence et une évolutivité considérables pour gérer les vulnérabilités, prévenir les attaques, gérer les alertes et répondre aux incidents.

D’un autre côté, les adversaires peuvent également exploiter les LLM pour rendre les attaques plus efficaces, exploiter des vulnérabilités supplémentaires introduites par les LLM, et une utilisation abusive des LLM peut créer davantage de problèmes de cybersécurité, tels qu’une fuite involontaire de données due à l’utilisation omniprésente de l’IA.

Le déploiement des LLM nécessite une nouvelle façon de penser la cybersécurité. C’est beaucoup plus dynamique, interactif et personnalisé. À l’époque des produits matériels, le matériel n’était modifié que lorsqu’il était remplacé par la nouvelle version suivante du matériel. À l’ère du cloud, les logiciels pouvaient être mis à jour et les données des clients étaient collectées et analysées pour améliorer la prochaine version du logiciel, mais uniquement lorsqu’une nouvelle version ou un nouveau correctif était publié.

Désormais, dans la nouvelle ère de l’IA, le modèle utilisé par les clients possède sa propre intelligence, peut continuer à apprendre et changer en fonction de l’utilisation des clients – soit pour mieux servir les clients, soit pour s’orienter dans la mauvaise direction. Par conséquent, nous devons non seulement intégrer la sécurité dans la conception – nous assurer de créer des modèles sécurisés et empêcher l’empoisonnement des données de formation – mais également continuer à évaluer et à surveiller les systèmes LLM après leur déploiement pour leur sûreté, leur sécurité et leur éthique.

Plus important encore, nous devons intégrer des renseignements dans nos systèmes de sécurité (par exemple, inculquer les bonnes normes morales aux enfants au lieu de simplement réglementer leurs comportements) afin qu’ils puissent s’adapter et porter un jugement juste et solide sans s’éloigner facilement. mauvaises entrées.

Qu’ont apporté les LLM à la cybersécurité, en bien ou en mal ? Je partagerai ce que nous avons appris au cours de l’année écoulée et mes prédictions pour 2024.

Retour sur 2023

Quand j’ai écrit L’avenir de l’apprentissage automatique dans la cybersécurité il y a un an (avant l’ère LLM), j’ai souligné trois défis uniques pour l’IA en cybersécurité : l’exactitude, la pénurie de données et le manque de vérité terrain, ainsi que trois défis courants de l’IA mais plus graves en cybersécurité : l’explicabilité, la pénurie de talents, et la sécurité de l’IA.

Aujourd’hui, un an plus tard, après de nombreuses explorations, nous identifions la grande aide des LLM dans quatre de ces six domaines : le manque de données, le manque de vérité terrain, l’explicabilité et la pénurie de talents. Les deux autres domaines, la précision et la sécurité de l’IA, sont extrêmement critiques mais restent très difficiles.

Je résume les plus grands avantages de l’utilisation des LLM en cybersécurité dans deux domaines :

1. Données

Données étiquetées

L’utilisation des LLM nous a aidés à surmonter le défi lié au manque de « données étiquetées ».

Des données étiquetées de haute qualité sont nécessaires pour rendre les modèles et les prévisions d’IA plus précis et plus adaptés aux cas d’utilisation de la cybersécurité. Pourtant, ces données sont difficiles à obtenir. Par exemple, il est difficile de découvrir des échantillons de logiciels malveillants qui nous permettent d’en savoir plus sur les données d’attaque. Les organisations qui ont été piratées ne sont pas vraiment enthousiastes à l’idée de partager ces informations.

Les LLM sont utiles pour collecter des données initiales et synthétiser des données basées sur des données réelles existantes, en les développant pour générer de nouvelles données sur les sources, les vecteurs, les méthodes et les intentions d’attaque. Ces informations sont ensuite utilisées pour créer de nouvelles détections sans nous limiter aux données de terrain. .

Vérité terrain

Comme je l’ai mentionné dans mon article d’il y a un an, nous ne disposons pas toujours de la vérité fondamentale en matière de cybersécurité. Nous pouvons utiliser les LLM pour améliorer considérablement la vérité terrain en trouvant des lacunes dans notre détection et dans plusieurs bases de données de logiciels malveillants, en réduisant les taux de faux négatifs et en recyclant fréquemment les modèles.

2. Outils

Les LLM sont parfaits pour rendre les opérations de cybersécurité plus faciles, plus conviviales et plus exploitables. Jusqu’à présent, le plus grand impact des LLM sur la cybersécurité concerne le Security Operations Center (SOC).

Par exemple, la fonctionnalité clé derrière l’automatisation du SOC avec LLM est l’appel de fonction, qui permet de traduire les instructions en langage naturel en appels d’API pouvant exploiter directement le SOC. Les LLM peuvent également aider les analystes de sécurité à gérer les alertes et les réponses aux incidents de manière beaucoup plus intelligente et plus rapide. Les LLM nous permettent d’intégrer des outils de cybersécurité sophistiqués en prenant des commandes en langage naturel directement de l’utilisateur.

Explicabilité

Les modèles de Machine Learning précédents fonctionnaient bien, mais ne pouvaient pas répondre à la question « pourquoi ? » Les LLM ont le potentiel de changer la donne en expliquant la raison avec précision et confiance, ce qui modifiera fondamentalement la détection des menaces et l’évaluation des risques.

La capacité des LLM à analyser rapidement de grandes quantités d’informations est utile pour corréler les données de différents outils : événements, journaux, noms de familles de logiciels malveillants, informations provenant des vulnérabilités et expositions communes (CVE) et bases de données internes et externes. Cela aidera non seulement à trouver la cause première d’une alerte ou d’un incident, mais réduira également considérablement le temps moyen de résolution (MTTR) pour la gestion des incidents.

Pénurie de talents

Le secteur de la cybersécurité connaît un taux de chômage négatif. Nous n’avons pas suffisamment d’experts et les humains ne peuvent pas suivre le nombre massif d’alertes. Les LLM réduisent considérablement la charge de travail des analystes de sécurité grâce aux avantages des LLM : assembler et digérer rapidement de grandes quantités d’informations, comprendre les commandes en langage naturel, les décomposer en étapes nécessaires et trouver les bons outils pour exécuter les tâches.

De l’acquisition de connaissances et de données sur le domaine à la dissection de nouveaux échantillons et logiciels malveillants, les LLM peuvent aider à accélérer et à rendre plus efficaces la création de nouveaux outils de détection qui nous permettent de faire les choses automatiquement, depuis l’identification et l’analyse de nouveaux logiciels malveillants jusqu’à l’identification des acteurs malveillants.

Nous devons également créer les bons outils pour l’infrastructure de l’IA afin que tout le monde n’ait pas besoin d’être un expert en cybersécurité ou un expert en IA pour bénéficier de l’exploitation de l’IA en matière de cybersécurité.

3 prédictions pour 2024

En ce qui concerne l’utilisation croissante de l’IA dans la cybersécurité, il est très clair que nous sommes au début d’une nouvelle ère – le premier stade de ce que l’on appelle souvent la croissance du « bâton de hockey ». Plus nous en apprenons sur les LLM qui nous permettent d’améliorer notre posture de sécurité, plus nous avons de chances d’être en avance sur la courbe (et sur nos adversaires) pour tirer le meilleur parti de l’IA.

Même si je pense qu’il existe de nombreux domaines de la cybersécurité propices à la discussion sur l’utilisation croissante de l’IA comme multiplicateur de force pour lutter contre la complexité et l’élargissement des vecteurs d’attaque, trois choses ressortent :

1. Modèles

Les modèles d’IA feront d’énormes progrès dans la création d’une connaissance approfondie du domaine ancrée dans les besoins de la cybersécurité.

L’année dernière, une grande attention a été portée à l’amélioration des modèles généraux LLM. Les chercheurs ont travaillé dur pour rendre les modèles plus intelligents, plus rapides et moins chers. Cependant, il existe un énorme écart entre ce que ces modèles à usage général peuvent offrir et les besoins en matière de cybersécurité.

Concrètement, notre industrie n’a pas nécessairement besoin d’un grand modèle capable de répondre à des questions aussi diverses que « Comment faire des œufs à la florentine » ou « Qui a découvert l’Amérique ». Au lieu de cela, la cybersécurité a besoin de modèles hyper précis dotés d’une connaissance approfondie du domaine des menaces, des processus et bien plus encore.

En cybersécurité, la précision est essentielle à la mission. Par exemple, chez Palo Alto Networks, nous traitons chaque jour plus de 75 To de données provenant de SOC du monde entier. Même 0,01 % de verdicts de détection erronés peuvent être catastrophiques. Nous avons besoin d’une IA de haute précision dotée d’une riche expérience et de connaissances en matière de sécurité pour fournir des services sur mesure axés sur les exigences de sécurité des clients. En d’autres termes, ces modèles doivent effectuer moins de tâches spécifiques mais avec une précision beaucoup plus élevée.

Les ingénieurs font de grands progrès dans la création de modèles avec davantage de connaissances verticales et spécifiques à un domaine, et je suis convaincu qu’un LLM centré sur la cybersécurité émergera en 2024.

2. Cas d’utilisation

Des cas d’utilisation transformateurs des LLM en cybersécurité émergeront. Cela rendra les LLM indispensables pour la cybersécurité.

En 2023, tout le monde était très enthousiasmé par les incroyables capacités des LLM. Les gens utilisaient ce « marteau » pour essayer chaque « clou ».

En 2024, nous comprendrons que tous les cas d’utilisation ne sont pas les mieux adaptés aux LLM. Nous disposerons de véritables produits de cybersécurité compatibles LLM, ciblés sur des tâches spécifiques qui correspondent bien aux atouts des LLM. Cela augmentera véritablement l’efficacité, améliorera la productivité, améliorera la convivialité, résoudra les problèmes du monde réel et réduira les coûts pour les clients.

Imaginez pouvoir lire des milliers de manuels sur des problèmes de sécurité tels que la configuration des appareils de sécurité des points finaux, le dépannage des problèmes de performances, l’intégration de nouveaux utilisateurs avec les informations d’identification et les privilèges de sécurité appropriés et la décomposition de la conception architecturale de la sécurité fournisseur par fournisseur.

La capacité des LLM à consommer, résumer, analyser et produire les bonnes informations de manière évolutive et rapide transformera les centres d’opérations de sécurité et révolutionnera la manière, le lieu et le moment de déployer des professionnels de la sécurité.

3. Sécurité et sûreté de l’IA

Outre l’utilisation de l’IA pour la cybersécurité, la manière de créer et d’utiliser l’IA de manière sécurisée, sans compromettre l’intelligence des modèles d’IA, constitue un sujet majeur. Il y a déjà eu de nombreuses discussions et un excellent travail dans ce sens. En 2024, de vraies solutions seront déployées, et même si elles sont préliminaires, elles constitueront des pas dans la bonne direction. En outre, un cadre d’évaluation intelligent doit être établi pour évaluer dynamiquement la sécurité et la sûreté d’un système d’IA.

N’oubliez pas que les LLM sont également accessibles aux mauvais acteurs. Par exemple, les pirates peuvent facilement générer un nombre beaucoup plus important d’e-mails de phishing et une qualité bien supérieure à l’aide des LLM. Ils peuvent également exploiter les LLM pour créer de tout nouveaux logiciels malveillants. Mais l’industrie agit de manière plus collaborative et stratégique dans l’utilisation des LLM, nous aidant ainsi à prendre de l’avance et à garder une longueur d’avance sur les méchants.

Le 30 octobre 2023, le président américain Joseph Biden a publié un décret régissant l’utilisation responsable et appropriée des technologies, produits et outils d’IA. L’objectif de cette ordonnance concernait la nécessité pour les fournisseurs d’IA de prendre toutes les mesures nécessaires pour garantir que leurs solutions sont utilisées pour des applications appropriées plutôt que pour des fins malveillantes.

La sécurité et la sûreté de l’IA représentent une menace réelle – une menace que nous devons prendre au sérieux et supposer que les pirates informatiques sont déjà en train de planifier leur déploiement contre nos défenses. Le simple fait que les modèles d’IA soient déjà largement utilisés a entraîné une expansion majeure des surfaces d’attaque et des vecteurs de menace.

C’est un domaine très dynamique. Les modèles d’IA progressent quotidiennement. Même après le déploiement des solutions d’IA, les modèles évoluent constamment et ne restent jamais statiques. Une évaluation, un suivi, une protection et une amélioration continus sont indispensables.

De plus en plus d’attaques utiliseront l’IA. En tant qu’industrie, nous devons faire du développement de cadres d’IA sécurisés une priorité absolue. Cela nécessitera une vision d’aujourd’hui impliquant la collaboration des fournisseurs, des entreprises, des établissements universitaires, des décideurs politiques, des régulateurs – de l’ensemble de l’écosystème technologique. Ce sera sans aucun doute une tâche difficile, mais je pense que nous sommes tous conscients de l’importance cruciale de cette tâche.

Conclusion : le meilleur reste à venir

D’une certaine manière, le succès des modèles d’IA à usage général comme ChatGPT et autres nous a gâtés en matière de cybersécurité. Nous espérions tous pouvoir créer, tester, déployer et améliorer continuellement nos LLM en les rendant plus centrés sur la cybersécurité, pour ensuite nous rappeler que la cybersécurité est un domaine très unique, spécialisé et délicat à appliquer l’IA. Nous devons maîtriser les quatre aspects essentiels pour que cela fonctionne : les données, les outils, les modèles et les cas d’utilisation.

La bonne nouvelle est que nous avons accès à de nombreuses personnes intelligentes et déterminées qui ont la vision nécessaire pour comprendre pourquoi nous devons mettre au point des systèmes plus précis alliant puissance, intelligence, facilité d’utilisation et, peut-être par-dessus tout, pertinence en matière de cybersécurité.

J’ai la chance de travailler dans ce domaine depuis un certain temps et je ne manque jamais d’être enthousiasmé et satisfait des progrès réalisés chaque jour par mes collègues de Palo Alto Networks et du secteur qui nous entoure.

Pour en revenir à la partie délicate du métier de pronostiqueur, il est difficile de savoir grand-chose sur l’avenir avec une certitude absolue. Mais je sais ces deux choses :

• 2024 sera une année phénoménale dans l’utilisation de l’IA dans la cybersécurité.
• 2024 sera bien pâle en comparaison de ce qui reste à venir.

Pour en savoir plus, visitez-nous ici.