Gagner la guerre contre l’IA adverse commence par un SOC natif pour l’IA

Cet article fait partie du numéro spécial de VentureBeat, « L’IA à l’échelle : de la vision à la viabilité ». En savoir plus sur ce problème ici.

Confrontés à des attaques multidomaines de plus en plus sophistiquées en raison de la lassitude des alertes, du roulement élevé et du vieillissement des appareils, les responsables de la sécurité adoptent les centres d’opérations de sécurité (SOC) natifs d’IA comme l’avenir de la défense.

Cette année, les attaquants établissent de nouveaux records de vitesse d’intrusion en exploitant les faiblesses des systèmes existants conçus pour protéger uniquement le périmètre et, pire encore, les faiblesses des connexions fiables sur l’ensemble du réseau.

Les attaquants ont réduit leur durée moyenne d’activité d’intrusion dans le domaine de la cybercriminalité de 17 minutes par rapport à l’année dernière et ont réduit le temps moyen d’évasion des intrusions dans le domaine de la cybercriminalité. de 79 minutes à 62 minutes En seulement un an. Le temps d’évasion le plus rapide observé n’était que de deux minutes et sept secondes.

Les attaquants utilisent l’IA générative, l’ingénierie sociale, les campagnes d’intrusion interactives et une attaque totale contre les vulnérabilités et les identités du cloud. Avec ce manuel, ils cherchent à exploiter les vulnérabilités des organisations disposant d’arsenaux de cybersécurité existants ou inexistants.

« La rapidité des cyberattaques actuelles exige que les équipes de sécurité analysent rapidement des quantités massives de données pour détecter, enquêter et répondre rapidement aux menaces. C’est la promesse non tenue du SIEM (Security Information and Event Management). Les clients sont avides d’une meilleure technologie qui offre un délai de rentabilisation immédiat et des fonctionnalités accrues à un coût total de possession inférieur, a déclaré George Kurtz, président, PDG et co-fondateur de la société de cybersécurité. Grève de foule,

« Les dirigeants du SOC doivent équilibrer l’amélioration de leurs capacités de détection et d’interception. Cela devrait réduire le nombre d’incidents et améliorer leurs capacités de réponse, réduisant ainsi le temps d’intervention des attaquants », a écrit Gartner dans son rapport. Conseils pour choisir le bon équipement pour votre centre d’opérations de sécurité,

AI-Native SoC : le remède définitif pour l’intégration des sièges pivotants

Visitez n’importe quel SOC et il est clair que la plupart des analystes sont obligés de s’appuyer sur une « intégration sur chaise pivotante », car les systèmes existants n’ont pas été conçus pour partager des données entre eux en temps réel.

Cela signifie que les analystes déplacent souvent leur fauteuil roulant d’un moniteur à l’autre, vérifiant les alertes et éliminant les faux positifs. La précision et la rapidité sont perdues dans la lutte contre les efforts multi-domaines croissants qui ne sont pas intuitivement clairs et distincts entre les alertes en temps réel et en temps réel.

Voici quelques-uns des nombreux défis que les dirigeants des SOC s’attendent à ce que les SOC natifs de l’IA les aident à résoudre :

Attention niveau de fatigue chronique : Les systèmes existants, y compris SIEM, génèrent de plus en plus d’alertes que les analystes SOC doivent suivre et analyser. Les analystes du SOC, qui ont parlé sous couvert d’anonymat, ont déclaré que quatre alertes sur dix qu’ils produisent sont des faux positifs. Les analystes passent souvent plus de temps sur les faux positifs que sur les menaces réelles, ce qui a un impact considérable sur la productivité et les temps de réponse. Rendre l’IA SOC native aura un impact immédiat dès maintenant, un problème auquel chaque analyste et dirigeant SOC doit faire face quotidiennement.

Pénurie et désabonnement persistants des talents : Les analystes SOC expérimentés qui excellent dans leur travail et dont les dirigeants peuvent influencer les budgets et recevoir des augmentations de salaire et des primes restent pour la plupart dans leurs fonctions actuelles. Félicitations aux organisations qui ont réalisé qu’investir dans la rétention d’équipes SOC talentueuses était au cœur de leur activité. Une statistique fréquemment citée est qu’il existe un manque de 3,4 millions de professionnels dans la main-d’œuvre mondiale en cybersécurité. Il existe en fait une grave pénurie d’analystes SOC dans le secteur. Il appartient donc aux organisations de réduire l’écart salarial et de doubler la formation pour développer leurs équipes en interne. L’épuisement professionnel sévit dans les équipes en sous-effectif qui sont obligées de s’appuyer sur l’intégration d’un siège pivotant pour accomplir leur travail.

Les menaces multidomaines augmentent rapidementLes adversaires, notamment les gangs de cybercriminels, les États-nations et les organisations cyberterroristes bien financées, exploitent les failles dans la sécurité et la détection des terminaux. Les attaques sans logiciels malveillants ont augmenté au cours de l’année écoulée, augmentant en termes de variété, de volume et d’ingéniosité des stratégies d’attaque. Les équipes SOC qui protègent les éditeurs de logiciels d’entreprise développant des plates-formes, des systèmes et de nouvelles technologies basés sur l’IA sont particulièrement touchées. Les attaques sans logiciels malveillants passent souvent inaperçues, reposent sur la confiance accordée aux appareils légitimes, génèrent rarement une signature unique et reposent sur une exécution sans fichier. Kurtz a déclaré à VentureBeat que les attaquants qui ciblent les vulnérabilités des points finaux et des identités disparaissent souvent d’un système en deux minutes. Leurs techniques avancées, notamment l’ingénierie sociale, le Ransomware-as-a-Service (RaaS) et les attaques basées sur l’identité, exigent des réponses SOC plus rapides et plus adaptatives.

Des configurations cloud de plus en plus complexes augmentent le risque d’attaque. les nuages ​​envahissent augmenté de 75% sur un anLes vulnérabilités du cloud natif telles que les API non sécurisées et les erreurs de configuration des identités sont exploitées par des adversaires. Les SOC se heurtent souvent à une visibilité limitée et à des outils inadéquats pour atténuer les menaces dans des environnements multicloud complexes.

La surcharge de données et la prolifération des outils créent des lacunes de défense que les équipes SOC sont appelées à combler. Les anciens systèmes basés sur le périmètre, y compris les systèmes SIEM vieux de plusieurs décennies, ont du mal à traiter et à analyser les grandes quantités de données générées par les infrastructures, les points finaux et les sources de données de télémétrie modernes. Demander aux analystes SOC de surveiller plusieurs sources d’alertes et de rapprocher les données provenant d’outils disparates ralentit leur efficacité, conduit à l’épuisement professionnel et les empêche d’atteindre la précision, la vitesse et les performances dont ils ont besoin.

Comment l’IA améliore la précision, la vitesse et les performances du SOC

« L’IA est déjà utilisée par les criminels pour contourner certaines des mesures de cybersécurité mises en place dans le monde », a prévenu Johann Gerber, vice-président exécutif de la sécurité et de la cyber-innovation chez Mastercard. « Mais l’IA doit faire partie de notre avenir, de la façon dont nous abordons et traitons les attaques de cybersécurité. »

« Si l’IA est considérée comme un outil complémentaire, il est extrêmement difficile de sortir et de faire quelque chose ; Il faut y penser (comme faisant partie intégrante), déclare Jitu Patel, vice-président exécutif et directeur général de la sécurité et de la collaboration chez Cisco. a déclaré à VentureBeatCitant les conclusions de Indice de préparation à la cybersécurité Cisco 2024« Le mot clé ici est que l’IA est essentiellement utilisée dans votre infrastructure de base. »

Compte tenu des nombreux avantages en matière de précision, de vitesse et de performances de la transition vers un SOC natif d’IA, il est logique que Gartner soutienne cette idée. Le cabinet de recherche estime que d’ici 2028, l’IA multi-agents dans la détection des menaces et la réponse aux incidents (y compris au sein du SOC) passera de 5 % à 70 % des mises en œuvre de l’IA – augmentant principalement la main-d’œuvre, et non la remplaçant.

Les chatbots ont un impact

La valeur que les SOC basés sur l’IA apportent aux équipes de cybersécurité et informatiques comprend une détection et un tri accélérés des menaces basés sur une précision prédictive améliorée à l’aide de données de télémétrie en temps réel.

Les équipes SOC signalent que les outils basés sur l’IA, y compris les chatbots, permettent un traitement plus rapide sur un large éventail de requêtes, depuis les simples analyses jusqu’à l’analyse plus complexe des anomalies. La dernière génération de chatbots conçue pour rationaliser les flux de travail SOC et aider les analystes de sécurité comprend Charlotte AI de CrowdStrike, Threat Intelligence Copilot de Google, Microsoft Security Copilot, la série AI Copilot de Palo Alto Networks et SentinelOne Purple AI.

Les bases de données graphiques sont la clé de l’avenir du SOC

Les technologies de bases de données graphiques aident les défenseurs tout autant que les attaquants découvrent leurs vulnérabilités. Les attaquants pensent en termes de traversée du graphique système d’une entreprise, tandis que les défenseurs du SOC s’appuient traditionnellement sur les listes qu’ils utilisent pour mettre en œuvre des actions préventives. La course aux armements dans les bases de données graphiques vise à mettre les analystes SOC sur un pied d’égalité avec les attaquants lorsqu’il s’agit de suivre les menaces, les intrusions et les violations dans les graphiques de leurs identités, systèmes et réseaux.

L’IA s’avère déjà efficace pour réduire les faux positifs, automatiser les réponses aux incidents, améliorer l’analyse des menaces et trouver constamment de nouvelles façons de rationaliser les opérations SOC.

La combinaison de l’IA avec des bases de données graphiques aide également les SOC à suivre et à prévenir les attaques multi-domaines. Les bases de données graphiques sont essentielles pour l’avenir du SOC car elles excellent dans la visualisation et l’analyse des données interconnectées en temps réel, permettant une détection des menaces, une analyse des chemins d’attaque et une priorisation des risques plus rapides et plus précises.

John Lambert, vice-président de Microsoft Security Research, a souligné l’importance cruciale de la réflexion basée sur des graphiques pour la cybersécurité, expliquant à VentureBeat : « Les défenseurs pensent en listes, les cyber-attaquants pensent en graphiques. Tant que cela reste vrai, les attaquants gagnent.

Les SOC natifs de l’IA ont besoin des humains au milieu pour atteindre leur potentiel

Les SOC qui conçoivent intentionnellement des flux de travail de type « man-in-the-middle » comme élément central de leurs stratégies SOC natives d’IA sont les mieux placés pour réussir. L’objectif primordial est de renforcer les connaissances des analystes SOC et de leur fournir les données, les informations et les renseignements dont ils ont besoin pour exceller et évoluer dans leurs fonctions. La rétention est également inhérente à la conception de flux de travail man-in-the-middle.

Les organisations qui ont créé une culture d’apprentissage continu et considèrent l’IA comme un outil permettant d’accélérer la formation et les résultats professionnels ont déjà une longueur d’avance sur leurs concurrents. VentureBeat continue de voir des SOC accorder une grande priorité à permettre aux analystes de se concentrer sur des tâches complexes et stratégiques, tandis que l’IA gère les opérations de routine tout en gardant leurs équipes intactes. Il existe de nombreuses histoires de petites victoires, comme empêcher une intrusion ou une violation. L’IA ne doit pas être considérée comme un substitut aux analystes SOC ou aux chasseurs de menaces humaines expérimentés. Au lieu de cela, les applications et plates-formes d’IA sont les outils dont les victimes ont besoin pour mieux protéger les entreprises.

Les SOC basés sur l’IA peuvent réduire considérablement les temps de réponse aux incidents, certaines organisations signalant des réductions allant jusqu’à 50 %. Cette accélération permet aux équipes de sécurité de répondre plus facilement aux menaces, réduisant ainsi les dommages potentiels.

Le rôle de l’IA dans le SOC devrait s’étendre, pour inclure une simulation proactive d’adversaires, une surveillance continue de l’état de l’écosystème SOC et une sécurité avancée des points de terminaison et des identités grâce à une intégration zéro confiance. Ces avancées renforceront encore davantage les défenses des organisations contre les cybermenaces émergentes.