Cet article fait partie du numéro spécial de VentureBeat, « L’IA à l’échelle : de la vision à la viabilité ». En savoir plus sur ce numéro spécial ici.
Cet article fait partie du numéro spécial de VentureBeat, « L’IA à l’échelle : de la vision à la viabilité ». En savoir plus sur le numéro ici.
Confrontés à des attaques multidomaines de plus en plus sophistiquées en raison de la lassitude des alertes, d’un turnover élevé et d’outils obsolètes, les responsables de la sécurité adoptent les centres d’opérations de sécurité (SOC) natifs d’IA comme l’avenir de la défense.
Cette année, les attaquants établissent de nouveaux records de vitesse pour les intrusions en capitalisant sur les faiblesses des systèmes existants conçus pour des défenses périmétriques uniquement et, pire encore, des connexions fiables entre les réseaux.
Les attaquants ont réduit de 17 minutes leur durée moyenne d’activité d’intrusion dans le domaine de la cybercriminalité au cours de l’année dernière et ont réduit le temps moyen d’évasion des intrusions dans le domaine de la cybercriminalité de 79 minutes à 62 minutes dans seulement un an. Le temps d’évasion le plus rapide observé n’était que de deux minutes et sept secondes.
Les attaquants combinent IA générative, ingénierie sociale, campagnes d’intrusion interactives et attaque totale contre les vulnérabilités et les identités du cloud. Avec ce manuel, ils cherchent à capitaliser sur les faiblesses des organisations dont les arsenaux de cybersécurité sont obsolètes ou inexistants.
« La rapidité des cyberattaques actuelles exige que les équipes de sécurité analysent rapidement des quantités massives de données pour détecter, enquêter et répondre plus rapidement aux menaces. C’est la promesse manquée du SIEM [security information and event management]. Les clients sont avides d’une meilleure technologie qui offre une rentabilisation instantanée et des fonctionnalités accrues à un coût total de possession inférieur », a déclaré George Kurtz, président, PDG et cofondateur de la société de cybersécurité. Grève de foule.
« Les dirigeants des SOC doivent trouver un équilibre en améliorant leurs capacités de détection et de blocage. Cela devrait réduire le nombre d’incidents et améliorer leurs capacités de réponse, réduisant ainsi le temps d’intervention des attaquants », écrit Gartner dans son rapport : Conseils pour sélectionner les bons outils pour votre centre d’opérations de sécurité.
SOC natifs d’IA : le remède sûr pour l’intégration des sièges pivotants
Visitez n’importe quel SOC et il est clair que la plupart des analystes sont obligés de s’appuyer sur une « intégration sur chaise pivotante », car les systèmes existants n’ont pas été conçus pour partager des données en temps réel entre eux.
Cela signifie que les analystes font souvent pivoter leur chaise roulante d’un moniteur à l’autre, vérifiant les alertes et éliminant les faux positifs. La précision et la rapidité sont perdues dans la lutte contre les tentatives multi-domaines croissantes qui ne sont pas intuitivement évidentes et distinctes parmi le torrent d’alertes en temps réel qui affluent.
Voici quelques-uns des nombreux défis que les dirigeants SOC s’attendent à ce qu’un SOC natif d’IA les aide à résoudre :
Niveaux chroniques de fatigue d’alerte : Les systèmes existants, y compris les SIEM, produisent un nombre de plus en plus important d’alertes que les analystes SOC doivent suivre et analyser. Les analystes du SOC qui ont parlé sous couvert d’anonymat ont déclaré que quatre alertes sur dix qu’ils produisent sont des faux positifs. Les analystes passent souvent plus de temps à trier les faux positifs qu’à enquêter sur les menaces réelles, ce qui affecte gravement la productivité et le temps de réponse. Rendre un SOC natif de l’IA réduirait immédiatement cette période, à laquelle chaque analyste et dirigeant SOC doit faire face quotidiennement.
Pénurie et désabonnement persistants des talents : Les analystes SOC expérimentés qui excellent dans ce qu’ils font et dont les dirigeants peuvent influencer les budgets pour obtenir des augmentations et des primes restent, pour la plupart, dans leurs rôles actuels. Félicitations aux organisations qui réalisent qu’investir dans la rétention d’équipes SOC talentueuses est au cœur de leur activité. Une statistique fréquemment citée est qu’il existe un déficit mondial de main-d’œuvre en cybersécurité de 3,4 millions de professionnels. Il existe en effet une pénurie chronique d’analystes SOC dans le secteur, il appartient donc aux organisations de réduire les écarts salariaux et de doubler la formation pour développer leurs équipes en interne. L’épuisement professionnel est omniprésent dans les équipes en sous-effectif qui sont obligées de s’appuyer sur l’intégration d’un siège pivotant pour accomplir leur travail.
Les menaces multidomaines connaissent une croissance exponentielle. Les adversaires, notamment les gangs de cybercriminalité, les États-nations et les organisations cyberterroristes bien financées, redoublent d’efforts pour exploiter lacunes dans la sécurité et les identités des points finaux. Attaques sans malware se sont multipliées au cours de l’année écoulée, augmentant la variété, le volume et l’ingéniosité de leurs stratégies d’attaque. Les équipes SOC protégeant les éditeurs de logiciels d’entreprise développant des plates-formes, des systèmes et de nouvelles technologies basés sur l’IA sont en cours particulièrement touché. Les attaques sans logiciels malveillants sont souvent indétectables, reposent sur la confiance dans des outils légitimes, génèrent rarement une signature unique et reposent sur une exécution sans fichier. Kurtz a déclaré à VentureBeat que les attaquants qui ciblent les vulnérabilités des points finaux et des identités se déplacent fréquemment latéralement au sein des systèmes en moins de deux minutes. Leurs techniques avancées, notamment l’ingénierie sociale, le ransomware-as-a-service (RaaS) et les attaques basées sur l’identité, exigent des réponses SOC plus rapides et plus adaptatives.
Des configurations cloud de plus en plus complexes augmentent les risques d’attaque. Les intrusions dans le cloud ont a bondi de 75 % sur un anles adversaires exploitant les vulnérabilités natives du cloud, telles que les API non sécurisées et les erreurs de configuration des identités. Les SOC se heurtent souvent à une visibilité limitée et à des outils inadéquats pour atténuer les menaces dans des environnements multicloud complexes.
La surcharge de données et la prolifération des outils créent des lacunes de défense que les équipes SOC sont appelées à combler. Les anciens systèmes basés sur le périmètre, y compris les systèmes SIEM vieux de plusieurs décennies, ont du mal à traiter et à analyser l’immense quantité de données générées par les infrastructures, les points finaux et les sources de données de télémétrie modernes. Demander aux analystes SOC de suivre plusieurs sources d’alertes et de rapprocher les données provenant d’outils disparates ralentit leur efficacité, conduit à l’épuisement professionnel et les empêche d’atteindre la précision, la vitesse et les performances nécessaires.
Comment l’IA améliore la précision, la vitesse et les performances du SOC
« L’IA est déjà utilisée par les criminels pour contourner certaines des mesures de cybersécurité mises en place dans le monde. » prévient Johan Gerber, vice-président exécutif de la sécurité et de la cyber-innovation chez MasterCard. « Mais l’IA doit faire partie de notre avenir, de la façon dont nous attaquons et traitons la cybersécurité. »
« Il est extrêmement difficile de sortir et de faire quelque chose si l’IA est considérée comme un outil complémentaire ; tu dois y penser [as integral]», Jeetu Patel, vice-président exécutif et directeur général de la sécurité et de la collaboration chez Cisco, a déclaré à VentureBeatcitant les conclusions du Indice de préparation à la cybersécurité Cisco 2024. « Le mot clé ici est que l’IA est utilisée de manière native dans votre infrastructure principale. »
Compte tenu des nombreux avantages en matière de précision, de vitesse et de performances liés à la transition vers un SOC natif d’IA, il est compréhensible que Gartner soutienne cette idée. Le cabinet de recherche prédit que d’ici 2028, l’IA multi-agents dans la détection des menaces et la réponse aux incidents (y compris au sein des SOC) passera de 5 % à 70 % des mises en œuvre de l’IA – augmentant principalement le personnel, et non le remplaçant.
Les chatbots ont un impact
La détection et le tri accélérés des menaces, basés sur une précision prédictive améliorée à l’aide de données de télémétrie en temps réel, sont au cœur de la valeur que les SOC basés sur l’IA apportent aux équipes de cybersécurité et informatiques.
Les équipes SOC signalent que les outils basés sur l’IA, y compris les chatbots, permettent des délais d’exécution plus rapides sur un large éventail de requêtes, de la simple analyse à l’analyse plus complexe des anomalies. La dernière génération de chatbots conçue pour rationaliser les flux de travail SOC et aider les analystes de sécurité comprend Charlotte AI de CrowdStrike, Threat Intelligence Copilot de Google, Microsoft Security Copilot, la série de copilotes IA de Palo Alto Networks et SentinelOne Purple AI.
Les bases de données graphiques sont au cœur de l’avenir des SOC
Les technologies de bases de données graphiques aident les défenseurs à identifier leurs vulnérabilités comme le font les attaquants. Les attaquants pensent en termes de parcours du graphique système d’une entreprise, tandis que les défenseurs du SOC s’appuient traditionnellement sur des listes qu’ils utilisent pour parcourir les actions basées sur la dissuasion. Le course aux armements de base de données graphique vise à amener les analystes SOC à égalité avec les attaquants lorsqu’il s’agit de suivre les menaces, les intrusions et les violations sur le graphique de leurs identités, systèmes et réseaux.
L’IA s’avère déjà efficace pour réduire les faux positifs, automatiser les réponses aux incidents, améliorer l’analyse des menaces et trouver continuellement de nouvelles façons de rationaliser les opérations SOC.
La combinaison de l’IA avec des bases de données graphiques aide également les SOC à suivre et à arrêter les attaques multi-domaines. Les bases de données graphiques sont au cœur de l’avenir du SOC car elles excellent dans la visualisation et l’analyse des données interconnectées en temps réel, permettant une détection des menaces, une analyse des chemins d’attaque et une priorisation des risques plus rapides et plus précises.
John Lambert, vice-président de Microsoft Security Research, a souligné l’importance cruciale de la réflexion basée sur des graphiques pour la cybersécurité, expliquant à VentureBeat : « Les défenseurs pensent en listes, les cyberattaquants pensent en graphiques. Tant que cela reste vrai, les attaquants gagnent. »
Les SOC natifs de l’IA ont besoin des humains au milieu pour atteindre leur potentiel
Les SOC qui envisagent délibérément de concevoir des flux de travail impliquant l’humain au cœur de leurs stratégies SOC natives d’IA sont les mieux placés pour réussir. L’objectif primordial doit être de renforcer les connaissances des analystes SOC et de leur fournir les données, les informations et les renseignements dont ils ont besoin pour exceller et évoluer dans leur rôle. La rétention est également implicite dans la conception d’un flux de travail axé sur l’humain.
Les organisations qui ont créé une culture d’apprentissage continu et considèrent l’IA comme un outil permettant d’accélérer la formation et les résultats sur le terrain sont déjà en avance sur leurs concurrents. VentureBeat continue de voir des SOC accorder une grande priorité à permettre aux analystes de se concentrer sur des tâches complexes et stratégiques, tandis que l’IA gère les opérations de routine, en conservant leurs équipes. Il existe de nombreuses histoires de petites victoires, comme l’arrêt d’une intrusion ou d’une violation. L’IA ne doit pas être considérée comme un remplacement des analystes SOC ou pour les chasseurs de menaces humaines expérimentés. Au lieu de cela, les applications et plates-formes d’IA sont des outils dont les chasseurs de menaces ont besoin pour mieux protéger les entreprises.
Les SOC basés sur l’IA peuvent réduire considérablement les temps de réponse aux incidents, certaines organisations signalant jusqu’à un 50% de diminution. Cette accélération permet aux équipes de sécurité de répondre plus rapidement aux menaces, minimisant ainsi les dommages potentiels.
Le rôle de l’IA dans les SOC devrait s’étendre, en intégrant des simulations proactives d’adversaires, une surveillance continue de l’état des écosystèmes SOC et une sécurité avancée des points de terminaison et des identités grâce à une intégration zéro confiance. Ces avancées renforceront encore davantage les défenses des organisations contre l’évolution des cybermenaces.