Comment l’IA peut empêcher les analystes de cybersécurité de se noyer dans une mer de données
Alors que les organisations s’appuient de plus en plus sur les réseaux, les plateformes en ligne, les données et la technologie, les risques associés aux violations de données et aux atteintes à la vie privée sont plus graves que jamais. Si l’on ajoute à cela la fréquence et la sophistication croissantes des cybermenaces, il devient évident que renforcer les défenses en matière de cybersécurité n’a jamais été aussi important.
Les analystes de la cybersécurité sont en première ligne de cette bataille, travaillant 24 heures sur 24 dans les centres d'opérations de sécurité (SOC), les unités qui protègent les organisations contre les cybermenaces, pour passer au crible un volume massif de données tout en surveillant les incidents de sécurité potentiels.
Ils sont confrontés à de vastes flux d’informations provenant de sources disparates, allant des journaux réseau aux flux de renseignements sur les menaces, dans le but d’empêcher la prochaine attaque. Bref, ils sont débordés. Mais trop de données n’ont jamais été un problème pour l’intelligence artificielle, c’est pourquoi de nombreux experts se tournent vers l’IA pour renforcer les stratégies de cybersécurité et alléger la pression sur les analystes.
Stephen Schwab, directeur de la stratégie de la division Réseaux et cybersécurité de l'Institut des sciences de l'information (ISI) de l'USC, envisage des équipes symbiotiques d'humains et d'IA collaborant pour améliorer la sécurité, afin que l'IA puisse aider les analystes et améliorer leurs performances globales dans ces environnements à enjeux élevés. Schwab et son équipe ont développé des bancs d'essai et des modèles pour rechercher des stratégies de cybersécurité assistées par l'IA dans des systèmes plus petits, comme la protection d'un réseau social.
« Nous essayons de garantir que les processus d'apprentissage automatique peuvent atténuer ces inquiétudes, sans les aggraver, ni alléger la charge de travail de l'analyste humain », a-t-il déclaré.
David Balenson, directeur associé de la division Réseaux et Cybersécurité d'ISI, souligne le rôle essentiel de l'automatisation pour alléger le fardeau des analystes en cybersécurité. « Les SOC sont inondés d'alertes que les analystes doivent analyser rapidement en temps réel et décider quels sont les symptômes d'un incident réel. C'est là que l'IA et l'automatisation entrent en jeu, en repérant les tendances ou les modèles d'alertes qui pourraient être des incidents potentiels », explique Balenson. .
En quête de transparence et d’explicabilité
Cependant, l’intégration de l’IA dans les opérations de cybersécurité n’est pas sans défis. L’une des principales préoccupations est le manque de transparence et d’explicabilité inhérent à de nombreux systèmes basés sur l’IA. « L'apprentissage automatique (ML) est utile pour surveiller les réseaux et les systèmes finaux là où les analystes humains sont fatigués », explique Schwab. « Ils constituent pourtant une boîte noire : ils peuvent déclencher des alertes qui peuvent sembler inexplicables. C'est là que l'explicabilité entre en jeu, car l'analyste humain doit être sûr que le système ML fonctionne dans des limites raisonnables. »
Une solution proposée par Schwab consiste à créer des explicatifs présentant les actions du système ML dans un anglais informatisé, similaire au langage naturel, que l'analyste peut comprendre. Marjorie Freedman, scientifique principale à l'ISI, mène des recherches à ce sujet. « J'ai étudié ce que signifie générer des explications et ce que vous attendez de l'explication. Nous explorons également comment une explication peut aider une personne à vérifier la génération d'un modèle », a-t-elle déclaré.
L'art de signaler
Un exemple d’explication d’une décision d’IA en matière de cybersécurité est le processus d’authentification en ligne. Lors de l'authentification auprès d'un système, les utilisateurs saisissent un mot de passe ou un code PIN. Cependant, différentes personnes saisissent les données selon des modèles différents, que l'IA peut signaler même si le code a été correctement saisi.
Ces modèles « potentiellement suspects » ne constituent peut-être pas réellement des failles de sécurité, mais l’IA les prend néanmoins en compte. Si, en plus de les signaler, une explication est fournie à l'analyste humain énumérant le modèle d'entrée comme l'une des raisons du signalement, l'analyste comprendra mieux le raisonnement derrière la prise de décision de l'IA. Et armé de ces informations supplémentaires, l'analyste peut prendre des décisions plus éclairées et prendre les mesures appropriées (c'est-à-dire valider ou annuler la détermination de l'IA). Freedman estime que les opérations de cybersécurité doivent exécuter leur meilleur modèle de ML pour prédire, identifier et traiter les menaces, parallèlement à des approches qui expliquent efficacement la décision aux experts.
« Si quelqu'un ferme un système qui coûtera beaucoup d'argent à l'entreprise, c'est une situation aux enjeux élevés où nous devons confirmer que c'est la bonne décision », a déclaré Freedman. « L'explication n'est peut-être pas exactement la dérivation de l'IA pour expliquer comment elle est arrivée là, mais cela pourrait être ce que l'analyste humain a besoin de savoir pour déterminer si c'est correct ou non. »
Garder les données en sécurité et privées
Si la confiance entre l’analyste humain et la machine constitue un défi de l’IA en matière de cybersécurité, la confiance dans le fait que les informations sensibles ou exclusives sur lesquelles les IA sont formées resteront privées en est un autre. Par exemple, pour entraîner un modèle d'apprentissage automatique afin d'assurer la sécurité des données ou de protéger les systèmes, une organisation peut utiliser des détails opérationnels ou des vulnérabilités de sécurité.
L'exposition potentielle de ce type d'informations sensibles sur la cyber-posture d'une organisation est une préoccupation lors de l'intégration de l'IA dans les opérations de cybersécurité. « Une fois que vous avez placé des informations dans des systèmes tels que de grands modèles de langage, même si vous essayez de les supprimer, il n'y a aucune garantie que vous ayez réussi à les empêcher de discuter de ces informations. Nous devons rechercher des moyens de rendre cet espace de partage sans danger pour tous », a déclaré Schwab.
Schwab, Freedman et l'équipe ISI espèrent que leurs travaux mèneront à de nouvelles façons d'exploiter les forces des humains et de l'IA pour renforcer les cyberdéfenses, garder une longueur d'avance sur des adversaires sophistiqués et atténuer la surcharge des SOC.