Intelligence humaine et machine : l'intelligence artificielle dans les opérations de sécurité

La plupart des succès commerciaux de l'IA sont liés au ML d'apprentissage automatique supervisé. Les exemples incluent la compréhension du langage parlé par les assistants domestiques intelligents et la reconnaissance d’objets des voitures autonomes, tous exploitant les grandes quantités de données étiquetées et de calculs nécessaires à la formation de modèles complexes d’apprentissage en profondeur. Cependant, dans le domaine de la sécurité des réseaux, même si l’IA peut être utilisée pour améliorer l’efficacité et l’ampleur des équipes chargées des opérations de sécurité, elle nécessite un degré élevé de participation humaine, sinon elle ne peut pas résoudre la plupart des problèmes de sécurité des réseaux, du moins pour le moment.

De plus, le bruit numérique généré par le comportement humain dans l'environnement de l'entreprise a fait des anomalies du système un phénomène courant, rendant impossible de déterminer si elles constituent des attaques. Par conséquent, l’effet de la détection des comportements anormaux basée sur l’intelligence artificielle n’est pas idéal. Par exemple, une grande entreprise qui produit 1 milliard de données de télédétection par jour utilise l’apprentissage automatique pour détecter les menaces. Même si sa précision est de 99,9 %, cela signifie trouver le véritable événement d'attaque parmi 1 million de faux positifs. Surmonter ce déséquilibre dans les données de détection nécessite de nombreuses connaissances professionnelles et une stratégie de détection à plusieurs volets.

Mais évidemment, sans IA, les choses ne peuvent qu'empirer. Il existe encore des moyens d'exploiter la puissance de l'apprentissage automatique pour améliorer l'efficacité opérationnelle. Voici trois principes qu'il est conseillé aux équipes chargées des opérations de sécurité de prendre en compte :

1. l'intelligence, plutôt qu'un remplacement. Dans un environnement de systèmes complexes, en particulier face à des adversaires intelligents et qui s’adaptent rapidement, la technologie d’automatisation basée sur l’apprentissage actif apportera une valeur extrêmement élevée. La tâche principale des humains est de vérifier régulièrement le système d'apprentissage automatique, d'ajouter de nouveaux exemples, ainsi que de s'ajuster et d'itérer en permanence.

2. Choisissez les bons outils

Vous n'avez pas besoin d'être un expert en IA pour prendre de bonnes décisions, mais le principe est de vous assurer de choisir les bons outils.

Tout d’abord, il est important de comprendre la différence entre un comportement anormal et un comportement malveillant, car ce sont souvent deux choses différentes et reposent sur des techniques de détection très différentes. Le premier est facilement découvert grâce à une détection d’anomalies non supervisée et ne nécessite pas de données de formation étiquetées. Mais cette dernière nécessite un apprentissage supervisé, nécessitant souvent de nombreux exemples historiques.

Deuxièmement, les alertes avec un rapport signal/bruit élevé sont essentielles pour que les équipes des opérations de sécurité comprennent pleinement l'impact possible des résultats de détection, car ces systèmes ne seront pas précis à 100 %.

• Enfin, bien que presque toutes sortes de techniques d'apprentissage automatique aient été utilisées dans le domaine de la sécurité des réseaux, il reste très important d'accumuler un grand nombre de signatures de renseignements sur les menaces, car une fois ces signatures rencontrées, l'attaque peut presque être déterminée. , ce qui permet d'économiser beaucoup de travail d'analyse de corrélation. À tout moment, les signatures constituent une base essentielle pour détecter les menaces connues.
• 3. Les opérations de sécurité doivent être automatisées

Ironiquement, de nombreux professionnels de la cybersécurité qui font confiance à l'IA pour conduire des voitures sont sceptiques quant au rôle de l'IA dans les contre-mesures de cybersécurité. Cependant, aujourd’hui, lorsque des quantités massives de données et d’alarmes doivent être traitées, les opérations automatisées constituent l’un des moyens les plus efficaces d’améliorer l’efficacité de l’équipe des opérations de sécurité, et c’est fondamentalement la seule solution à l’avenir.

L'automatisation libère les esprits créatifs des tâches opérationnelles fastidieuses et est particulièrement utile lors de la détection de menaces avancées, de la corrélation des analyses, de la priorisation, de l'automatisation des contrôles à faible risque tels que la mise en quarantaine de fichiers suspects ou la demande de réauthentification des utilisateurs), ce qui peut améliorer considérablement l'efficacité des opérations de sécurité et réduire les risques liés au réseau.

En résumé, l’intelligence artificielle ou l’apprentissage automatique ne peuvent pas être la seule stratégie de cybersécurité, du moins dans un avenir prévisible. Lorsqu’on cherche des indices dans la vaste mer de données, combiner l’intelligence artificielle avec l’intelligence humaine des experts en sécurité constitue le moyen technique le plus pratique et le plus efficace.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!