"L'IA ne doit pas être un soliste, mais faire partie d'un ensemble à plusieurs niveaux".

Peu de sujets sont actuellement aussi discutés et mis en avant que l'intelligence artificielle. Presque toutes les solutions de sécurité informatique se vantent d'utiliser des "méthodes d'intelligence artificielle" pour détecter des menaces encore inconnues. Certains annoncent même la fin de tous les autres composants de sécurité. Plausible ? Ou un excès de zèle dangereux ? Michael Veit, spécialiste de la sécurité chez Sophos, classe les connaissances actuelles sur l'intelligence artificielle dans les systèmes de sécurité et pose le postulat d'une structure informatique moderne et sûre.

Les cybercriminels utilisent le Machine Learning pour "tromper" de la même manière les nouvelles solutions de sécurité NextGen, qui devraient être plus "intelligentes" grâce à l'intelligence artificielle (IA). (Image : Fotolia.com)

Il est vrai que les programmes antivirus traditionnels basés sur les signatures n'offrent pas une protection fiable contre les logiciels malveillants modernes. Les cybercriminels ont entre-temps appris et pratiquent l'assurance qualité en vérifiant, lors du développement de logiciels malveillants, si les scanners de virus connus reconnaissent leurs nouveaux logiciels malveillants. Ils les modifient ensuite jusqu'à ce qu'aucun antivirus ne réagisse plus. Les criminels disposent alors d'une fenêtre de quelques minutes à quelques heures pour diffuser avec succès le logiciel malveillant.

Les cybercriminels utilisent aussi l'IA

Les solutions dites NextGen Endpoint Security, qui utilisent des technologies d'apprentissage automatique, devraient y remédier. Elles ne détectent plus les logiciels malveillants sur la base de leur ressemblance avec des signatures de logiciels malveillants connus, mais en analysant les propriétés d'un fichier.

Seulement - personne n'empêche les cybercriminels d'acheter également des licences des solutions NextGen Endpoint avec Machine Learning et de manipuler les logiciels malveillants jusqu'à ce que les nouveaux logiciels malveillants ne soient plus reconnus par ces solutions également. C'est exactement ce qu'ont fait par exemple les développeurs de NotPetya, un logiciel malveillant très sophistiqué qui s'est introduit sur les ordinateurs de toutes les entreprises faisant des affaires avec l'Ukraine via le mécanisme de mise à jour d'un programme fiscal ukrainien. Ni les solutions anti-logiciels malveillants traditionnelles ni les solutions basées sur l'apprentissage automatique n'ont initialement détecté le logiciel malveillant de manière fiable.

Les solutions avancées NextGen-Endpoint comme Intercept X de Sophos, qui non seulement analysent les fichiers avant leur exécution mais surveillent également les logiciels pendant leur exécution, ont identifié et stoppé les intentions malveillantes de NotPetya grâce à la détection comportementale - dans ce cas, la tentative de chiffrement malveillant du disque dur a été remarquée et empêchée par Intercept X.

Le DeepLearning est plus performant

Malgré tout, l'utilisation du Machine Learning - de préférence dans sa variante très rapide et efficace, le Deep Learning - peut améliorer la sécurité dans les entreprises. Un bon modèle de deep learning est beaucoup plus rapide qu'un antivirus traditionnel basé sur les signatures, il réduit donc sensiblement la charge du système. En même temps, de nombreuses menaces, même inconnues, sont détectées. Pour obtenir un taux de détection élevé d'une part et un faible taux de faux positifs d'autre part, il faut non seulement un modèle d'IA performant (les modèles d'apprentissage en profondeur sont les plus adaptés dans la pratique), mais aussi une grande quantité de données d'entraînement. Sophos entraîne son modèle d'apprentissage en profondeur avec pratiquement tous les malwares et logiciels inoffensifs des 30 dernières années afin de minimiser les faux positifs. Les nouveaux acteurs du marché de la sécurité des systèmes d'extrémité de nouvelle génération utilisent également des modèles d'apprentissage automatique, mais disposent de beaucoup moins de données d'entraînement, ce qui peut avoir un effet négatif sur les faux positifs.

Il existe aussi de mauvais modèles d'IA

Il est facile d'identifier un mauvais modèle d'IA lorsque le fabricant propose un scénario de test dans lequel soit des "échantillons de logiciels malveillants" prédéfinis par le fabricant doivent être utilisés, soit le modèle doit d'abord être entraîné à l'environnement du client. Cela indique un modèle d'IA qui ne peut pas être utilisé de manière générale et qui doit pratiquement générer des exceptions (de facto des signatures) pour un environnement client spécifique - ce qui rend absurde l'approche d'une technique sans signatures. En outre, certains modèles d'IA évoluent mal et deviennent très volumineux et gourmands en performances au fil du temps, de sorte qu'ils doivent être transférés sur un environnement d'analyse propre dans le cloud ou sur une appliance d'analyse. Un bon modèle d'IA se caractérise par le fait qu'il est compact, rapide et universellement utilisable, c'est-à-dire qu'il peut être mis en œuvre immédiatement chez le client, sans formation spécifique.

L'IA comme élément constitutif des systèmes de sécurité modernes à plusieurs niveaux

Il est toutefois important de noter que l'analyse de certains types de fichiers avant leur exécution - avec ou sans méthodes d'intelligence artificielle - n'est qu'une composante d'une sécurité multicouche des systèmes d'extrémité. Seule la moitié environ de tous les logiciels malveillants arrive aujourd'hui dans l'entreprise sous forme de fichier exécutable (et peut donc être examinée avec des méthodes d'intelligence artificielle), l'autre moitié des menaces arrive aujourd'hui sous forme de logiciels malveillants de documents et de médias, ainsi que complètement sans partage par le biais de sites web infectés ou par exploit.

C'est pourquoi il est important d'implémenter plusieurs couches de sécurité :

  1. Couche - contrôle des voies d'entrée des logiciels malveillants : cela comprend le filtrage web, le contrôle des périphériques, le contrôle des applications et le pare-feu de bureau/passerelle avec prévention des intrusions sur le réseau.
  2. Couche - examen avant l'exécution : ici, les fichiers sont examinés à l'aide de signatures, de l'apprentissage automatique ou d'heuristiques.
  3. Couche - Détection de comportement : ici, les comportements malveillants sont détectés, comme par exemple la détection de ransomware/chiffrement, la prévention des exploits, la protection contre les technologies de piratage telles que la protection contre le vol de mot de passe.
  4. Couche - Réaction automatique : outre la mise en quarantaine et le nettoyage traditionnels des menaces, cela inclut aujourd'hui la restauration automatique des fichiers chiffrés par un ransomware ainsi que la communication avec d'autres composants pour le confinement automatique des menaces.
  5. Analyse de la couche : une analyse des causes en aval permet d'identifier comment le parasite a pénétré, comment/si/où il s'est propagé et quelles ressources de l'entreprise sont éventuellement encore touchées et doivent être nettoyées.

Les attaquants parviendront toujours à surmonter des mécanismes individuels, mais cet effort augmente de manière exponentielle en présence de plusieurs couches de protection. C'est pourquoi une approche multicouche de la sécurité informatique ainsi que la communication des composants de sécurité avec la possibilité de réagir automatiquement aux menaces (par exemple en isolant automatiquement un point d'accès infecté dans le réseau par le pare-feu ou le point d'accès WLAN) sont la clé d'une sécurité informatique moderne et efficace.

Vers l'auteur : Michael Veit est spécialiste en sécurité chez Sophos

(Visité 20 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet