En cybersécurité, l’intelligence artificielle se concentre sur le comportement

De l'antiviral à la sécurité comportementale

L'industrie de la sécurité a commencé par le comportement le plus simple qu'elle pouvait trouver : l'exécution de nouveaux programmes malveillants (comprendre : virus) sur un hôte donné. Recherchez ce comportement spécifique (comprendre : la signature d’un maliciel) et voilà : l'industrie de l'antivirus est apparue.

Mais, aujourd'hui, les cybercriminels cherchent avec diligence des moyens d’améliorer leur furtivité, pour éviter la détection, en altérant suffisamment un exécutable pour qu’il affiche une signature différente, voire même en évitant de recourir à un exécutable. Ainsi, les outils ont besoin de l'apprentissage automatique pour surveiller un certain nombre de comportements et de caractéristiques spécifiques au-delà d’une signature précise.

L’apprentissage automatique apporte une valeur ajoutée nette dans plusieurs domaines. Et cela commence par le comportement des hôtes : pour être efficace, un logiciel malveillant doit s'exécuter sur un système. Cela signifie que des fichiers doivent être écrits (à l'exception de l'injection directe de mémoire), des processus doivent être lancés et des ressources doivent être sollicitées. Dans les cas où des attaques surviennent et où des processus légitimes sont compromis, les actions anormales de ces processus seront évidentes.

Vient ensuite le comportement réseau. Le trafic est plus ou moins prévisible. Les hôtes interagissent généralement avec les mêmes sites ou systèmes, sur les mêmes ports, en utilisant les mêmes instances de chiffrement et en envoyant la même quantité de données. Les attaques impliquent l'utilisation de serveurs de commande et de contrôle, l'utilisation de ports inhabituels, le transfert de quantités de données peu coutumières et une utilisation accrue du chiffrement.

A cela s’ajoute le comportement de l'utilisateur. Les utilisateurs sont au travail pour faire leur travail et sont normalement confrontés à un nombre limité et prévisible de tâches plus ou moins répétitives. Ils se connectent la plupart du temps à peu près à la même heure, utilisent les mêmes applications, accèdent et interagissent avec les mêmes types et quantités de données et communiquent avec les mêmes personnes au sujet des mêmes choses. Les attaques impliquent la compromission d'un poste de travail, des identifiants d'utilisateur et des comportements qui sortent de l’ordinaire.

Si un attaquant utilise des applications natives du poste de travail compromis, cela aussi sera considéré comme inhabituel dans la plupart des cas et aidera à identifier un comportement menaçant.

En fait, la question est la même pour chaque produit mettant à profit l’intelligence artificielle : qu’est-ce qui est surveillé ? La réponse doit tourner autour des comportements susceptibles d’indiquer une intrusion, une découverte, une compromission, un déplacement latéral, une manipulation ou une exfiltration tentée ou réussie.

Les outils utilisant l'apprentissage automatique ne sont plus une simple mode ; ce sont des technologies qui détectent véritablement les comportements anormaux en beaucoup moins de temps que n'importe quel humain. Il sera intéressant de voir ce que le futur réserve à l’intelligence artificielle dans le domaine de la cybersécurité.

Au fur et à mesure de l'évolution des efforts des deux camps, l'intelligence artificielle et l'apprentissage automatique vont-ils mettre fin aux cyberattaques – ou du moins à certaines formes de cyberattaques ? Seul l'avenir le dira. Mais, pour l'instant, ces outils axés sur le comportement doivent faire partie des stratégies de sécurité des entreprises. Ou du moins de celles qui veulent avoir une chance de tenir bon.