Si les équipes des opérations de sécurité semblent épuisées, c’est parce qu’elles le sont – et pour de bonnes raisons. Même avant la pandémie actuelle, qui a vu une augmentation significative de certains types de cyberattaques, les experts en cybersécurité repoussaient déjà plus d’attaques que jamais dans leur paysage numérique en constante évolution. Le résultat est que le coût moyen d’une violation de données dépasse désormais 3,78 millions de dollars.
Cependant, alors que la pandémie se poursuit, les réseaux sont encore plus étendus. Les employés distants travaillent désormais sur des infrastructures jamais conçues pour avoir la majorité des charges de travail venant de l’extérieur du réseau, et les cybercriminels n’ont pas tardé à exploiter l’urgence et la confusion du moment. En plus d’un pic de spams et de campagnes d’hameçonnage hautement manipulateurs diffusant des logiciels malveillants, il y a également eu un ciblage accru d’individus de grande valeur pour voler des informations critiques, fournir des ransomwares ou installer des chevaux de Troie d’accès à distance qui contrôlent et surveillent les réseaux. Le risque est pas seulement que les organisations tentent leur chance sur un pari de 4 millions de dollars. C’est qu’ils prennent cette chance un million de fois par jour.
Ce n’est pas une hyperbole. À une époque où les alertes se multiplient en raison de la prévalence des menaces, certaines équipes SOC extensives reçoivent en moyenne 1 million d’alertes de sécurité par jour. Parce qu’ils manquent de personnel, ils n’ont guère d’autre choix que d’ignorer la plupart des alertes qu’ils reçoivent. Dans un rapport de l’ESG, les professionnels de la cybersécurité ont signalé que les organisations ignoraient jusqu’à 75% de toutes les alertes de sécurité – et même lorsqu’elles étaient en mesure de répondre, elles se retrouvaient souvent en course pour contenir et atténuer les menaces qui traversaient les réseaux plus rapidement que jamais grâce à un large gamme de nouvelles techniques d’attaque, y compris celles qui commencent à tirer parti de l’intelligence artificielle et de l’apprentissage automatique.
C’est l’homme contre la machine à la vitesse de l’ère numérique, et c’est tout simplement insoutenable. Les équipes du SOC d’aujourd’hui ne doivent pas être tenues pour responsables de faire l’impossible. Forcer qu’ils soient plus rapides qu’une attaque basée sur l’IA – en particulier sur des réseaux massifs d’appareils connectés à distance, dont un seul doit être violé pour que les criminels réussissent – n’est tout simplement pas réaliste.
Lorsqu’une attaque se produit, les analystes de la sécurité se démènent pour savoir comment elle est entrée, qui était le patient zéro et ce qu’il va infecter ensuite. Alors que même les réponses les plus rapides peuvent prendre plus de 10 minutes pour renvoyer des résultats, les ransomworms – qui se répliquent automatiquement en exploitant des fichiers et des programmes vulnérables – peuvent détruire des réseaux entiers, y compris des appareils et des systèmes connectés, en une fraction de temps. Tout ce qu’il faut pour en libérer un, c’est qu’un seul employé clique sur un lien de n’importe où sur le réseau.
Il n’est pas étonnant que la pression sur les professionnels de la sécurité soit plus forte que jamais. S’ajoute à cette pression l’attente que les analystes SOC devraient être des experts en tout, même si les organisations étendent leurs réseaux pour inclure des environnements multicloud, des travailleurs distants et des réseaux domestiques. Cependant, des compétences telles que la recherche sur les logiciels malveillants et le traçage patient zéro nécessitent des années d’expérience accumulée pour se développer. Tout comme les hôpitaux submergés par les patients de Covid-19 appellent des étudiants en médecine à assister à leur en première ligne, le manque de compétences en cybersécurité oblige les organisations à adopter une approche globale. Il s’agit à peine d’un palliatif, et encore moins d’une solution.
La vraie solution doit être double: la première consiste à déployer une IA capable de dépasser les vitesses de la technologie utilisée pour l’attaquer. La seconde consiste à tirer parti de la vitesse et de la précision de l’IA pour réutiliser les professionnels de la sécurité loin de l’analyse de données banale.
Le développement et le déploiement d’une solution d’intelligence artificielle peuvent prendre énormément de temps et de main-d’œuvre. Cependant, lorsqu’il s’agit d’identifier et de répondre à une attaque, la vitesse est le maître mot. Une fois qu’un système d’IA a été correctement construit et formé, la puissance de la sécurité basée sur l’IA est révélée par ses temps de réponse. Un système d’IA efficace peut effectuer les tâches d’une douzaine d’analystes de sécurité – et dans un paysage de menaces qui lance constamment de nouvelles menaces zero-day, la capacité de l’IA à réagir à la vitesse de la machine est essentielle. Aujourd’hui, une IA efficace peut détecter et désactiver un menace en quelques secondes, alors qu’il faudrait des jours à un analyste de sécurité chevronné pour l’identifier et l’isoler.
Cependant, ce n’est pas parce que les membres de l’équipe SOC ne devraient pas faire le travail d’IA que les solutions d’IA devraient faire le leur. Loin de là. La véritable puissance de l’IA n’est pas révélée lorsqu’elle est utilisée pour remplacer la prise de décision d’ordre supérieur et la perspicacité humaine. Au contraire, c’est la meilleure façon de voir ses limites. C’est plutôt lorsque la vitesse et la puissance de l’IA sont utilisées par des experts en sécurité chevronnés.
Parce que l’IA peut fonctionner à la vitesse de la machine pour détecter et atténuer efficacement les attaques plus rapidement et plus précisément que jamais, les professionnels de la sécurité sont alors libres de résoudre des problèmes beaucoup plus compliqués qui nécessitent des analyses plus poussées, telles que l’analyse médico-légale de la chaîne d’attaque et la restauration des systèmes. , ainsi que d’identifier et de combler les lacunes de sécurité et de rendre compte à la direction de ce qui s’est passé et pourquoi. Alors que l’IA peut identifier presque instantanément les cibles et arrêter un violation, les professionnels de la sécurité doivent encore analyser le contexte autour de l’attaque, y compris qui a été ciblé et pourquoi, permettant ainsi une reconnaissance plus approfondie des vulnérabilités potentielles.
L’intelligence artificielle et l’apprentissage automatique deviennent une partie plus importante de l’arsenal utilisé par les cybercriminels pour contourner les contrôles de sécurité que nous avons mis en place pour défendre nos ressources numériques. Par conséquent, nous ne devons pas hésiter à discuter de la nécessité de la vitesse et de la puissance que ces technologies peuvent fournir pour sécuriser nos réseaux en expansion. Cependant, bien que cette vitesse soit cruciale pour la sécurité numérique, sa valeur est en tant qu’outil pour les professionnels de la sécurité et non en tant que remplaçant. Il n’est pas contradictoire de dire que dans un paysage de menaces en constante évolution et de plus en plus intense, les réseaux doivent désormais déployer une IA plus rapide que n’importe quel analyste de sécurité chevronné, car nous avons plus que jamais besoin de ces analystes de sécurité chevronnés.
SEO AGENCE est une agence de conseil SEO