L'outil le plus évident pour obtenir des renseignements supplémentaires est la détection des schémas de trafic réseau, qu'ils soient bénins ou malveillants. Prenons l'exemple de l'envoi de fichiers en pièces jointes à des courriels. Contiennent-ils des virus, des chevaux de Troie ou d'autres logiciels malveillants ? Les méthodes traditionnelles permettraient d'analyser les fichiers à la recherche de signatures : des fragments de code présents lors d'attaques précédentes ou répertoriés dans d'autres fichiers infectés par des logiciels malveillants.

Les bases de données de signatures, diffusées par les chercheurs et les entreprises d'antivirus/antimalware, présentent plusieurs inconvénients. L'augmentation du nombre de variantes de logiciels malveillants entraîne une augmentation du nombre de signatures, ce qui allonge le temps de traitement. De plus, les signatures sont d'une utilité limitée face aux attaques zero-day, c'est-à-dire les attaques jamais vues auparavant.

Il est nécessaire de disposer de systèmes d'apprentissage automatique capables de détecter les logiciels malveillants en fonction de leur nature malveillante, qu'ils soient identifiés par une signature ou non, et même s'ils ont déjà été rencontrés. Ces systèmes, également appelés apprentissage automatique, utilisent des techniques d'intelligence artificielle pour une reconnaissance de formes rapide et efficace.

Un autre domaine où l'IA influence la cybersécurité est la détection des tentatives de piratage de mots de passe et d'autorisations. Appelées « attaques d'authentification », ces attaques consistent pour les cybercriminels à analyser les réseaux à la recherche de vulnérabilités, comme des appareils ou des serveurs sans mot de passe défini ou avec un mot de passe par défaut connu. Les systèmes basés sur l'IA peuvent surveiller le trafic réseau et détecter lorsqu'une application malveillante analyse le réseau à la recherche de telles vulnérabilités, en déclenchant automatiquement une alerte ou en initiant des contre-mesures. Comment l'IA le sait-elle ? Parce que ce type de trafic réseau ne correspond pas aux habitudes d'utilisation normales des utilisateurs finaux ni aux communications machine-à-machine, et la reconnaissance rapide des schémas est l'un des points forts de nombreux logiciels d'IA.

Dans ces cas, comme dans d'autres, l'IA fonctionne en appliquant les mathématiques au problème. De fait, on pourrait qualifier tous les types d'intelligence artificielle (et ils sont nombreux) de mathématiques avancées. Il ne s'agit pas de comparer des fichiers ou d'examiner des signatures ; le défi consiste à résoudre le problème mathématique. L'IA offre des techniques et des algorithmes puissants pour y parvenir.

Est-ce un chat ? Est-ce un virus ?

Nous avons tous constaté que les logiciels sur Internet sont extrêmement performants en matière de reconnaissance d'images. Facebook peut souvent identifier automatiquement nos amis sur les photos et nous proposer de les taguer. Les algorithmes de Google peuvent identifier les vidéos de chats avec une précision quasi parfaite. Ces algorithmes de reconnaissance d'images ne sont généralement pas qualifiés d'IA, mais ils utilisent les mêmes techniques d'apprentissage automatique et de réseaux neuronaux pour accomplir la même tâche qu'un logiciel de détection de logiciels malveillants basé sur l'IA, par exemple pour détecter un fichier corrompu ou une attaque d'authentification.

Pour les logiciels de détection de logiciels malveillants et les scanners réseau basés sur l'IA, la question est simple : l'élément (quel qu'il soit) est-il sûr ou non ? Ces scanners sont entraînés en présentant à des réseaux neuronaux ou à d'autres systèmes d'apprentissage automatique de nombreux exemples d'éléments sûrs et non sûrs. Une fois les algorithmes entraînés, ils sont opérationnels et peuvent effectuer une évaluation rapide et efficace : le fichier est classé comme sûr à 99 % et non sûr à seulement 1 %, il est donc autorisé à atteindre l'utilisateur final. La requête d'accès à l'application est classée comme sûre à 20 % et non sûre à 80 %, elle est donc bloquée.

Pourquoi n'est-ce pas une photo de chat ?

Sûr. Non sûr. Le choix est simple, mais il arrive que les administrateurs ou les utilisateurs finaux souhaitent davantage d'informations. Pourquoi l'IA classe-t-elle une feuille de calcul Excel comme potentiellement dangereuse ? Pourquoi bloque-t-elle l'accès à l'application ? Pourquoi le code JavaScript de cette page web semblait-il, presque certainement, malveillant ? Obtenir des réponses des systèmes d'apprentissage automatique est complexe.

Imaginez un système de reconnaissance d'images qui vous dit : « Cette image ne représente pas un chat. » Pourquoi n'est-elle pas identifiée comme telle ? Tout simplement parce qu'elle n'y ressemble pas. C'est la meilleure conclusion qu'on puisse tirer. Cela peut suffire pour une photo de chat, mais sur un réseau informatique d'entreprise, il nous faut davantage d'informations : pourquoi ce fichier est-il considéré comme un logiciel malveillant ? Dans ce cas, le système d'IA signale le fichier, puis des systèmes complémentaires effectuent une analyse forensique afin non seulement de confirmer la décision initiale, mais aussi d'analyser le logiciel malveillant pour obtenir des informations supplémentaires utiles à la détection et à la prévention de futures attaques.

Presque toutes les entreprises de cybersécurité mènent des recherches sur l'intelligence artificielle ; elles n'ont pas le choix. Trois d'entre elles possèdent un avantage considérable en la matière et misent sur le leadership dans l'utilisation de l'IA pour détecter et prévenir les attaques : Cylance, Javelin Networks et Wedge Networks.

Cylance est une mine d'or.
Basée à Irvine, en Californie, Cylance a développé ce qu'elle présente comme un antivirus de nouvelle génération basé sur l'intelligence artificielle. L'entreprise est spécialisée dans la protection des terminaux : Cylance détecte (et bloque) les logiciels malveillants, virus et bots connus et inconnus, rendant ainsi les futures méthodes d'attaque inefficaces.

Selon Cylance, le cœur de sa capacité d'identification de logiciels malveillants repose sur une plateforme de recherche révolutionnaire en apprentissage automatique, qui exploite l'informatique algorithmique et l'intelligence artificielle. Cette plateforme analyse et classe des centaines de milliers de caractéristiques par fichier, les décomposant jusqu'au niveau atomique pour déterminer en temps réel si un objet est « sain » ou « malveillant ». Ces caractéristiques ne sont pas des signatures : il s'agit de points de données qui doivent être examinés pour chaque fichier.

Stuart-McClure-wRepensez à l'identification des chats : ils ont des yeux, des oreilles, un nez, une forme de tête et une texture de peau. Mais c'est aussi le cas des chiens, des souris et des chevaux. Il faut des dizaines de milliers de points de données pour distinguer ce qui est presque certainement un chat de ce qui n'en est presque certainement pas un. Il en va de même pour la distinction entre un PDF sûr et un PDF malveillant : il n'existe pas d'indicateur unique. L'IA doit analyser d'énormes quantités de données pour parvenir à un jugement fiable.

Stuart McClure, PDG et fondateur de Cylance, déclare : « Nous avons trouvé la solution. Nous avons découvert comment appliquer pour la première fois à la cybersécurité un ensemble d'algorithmes très performants. Ces algorithmes ont déjà été testés pendant plus de 30 ans dans d'autres secteurs, comme le trading haute fréquence, l'assurance, voire le séquençage et le séquençage du génome. Ils exploitent les données et entraînent l'ordinateur à reconnaître des schémas et à prédire l'avenir. Cela nous a offert une opportunité unique de développer rapidement cette nouvelle application d'IA, car les utilisateurs étaient lassés des solutions antivirus existantes. ».

L'approche mathématique de Cylance empêche l'exécution de code malveillant sans connaissance préalable ou par le biais d'une technique d'obfuscation inconnue. L'entreprise affirme qu'aucun autre produit anti-malware n'égale sa précision, sa facilité de gestion et son efficacité, notamment ceux qui reposent sur la comparaison traditionnelle de fichiers de signatures.

 

Lancer le javelot

Javelin Networks, basée à Palo Alto en Californie, se spécialise dans les attaques par authentification, où un cybercriminel parvient à pénétrer un réseau d'entreprise et s'apprête à exploiter sa position pour dérober des actifs de l'entreprise. Javelin utilise la reconnaissance de formes basée sur l'IA pour détecter instantanément la compromission d'un réseau, en identifiant généralement les activités propres aux attaquants, telles que la recherche de vulnérabilités, les comptes utilisateurs facilement identifiables, les applications et les serveurs.

Greg FitzgeraldLorsqu'une attaque est détectée, Javelin entre en action et effectue plusieurs actions simultanément.

• Une alerte est déclenchée, informant les professionnels de la sécurité et de l'informatique en entreprise qu'une attaque est en cours.

• Il isole secrètement le terminal compromis (tel que l'ordinateur portable d'un utilisateur final) de l'accès aux véritables ressources de l'entreprise, mais d'une manière que l'attaquant ne détectera pas.

• Puis, il crée pour l'attaquant un univers réseau fictif mais réel, le piégeant dans un labyrinthe de centaines ou de milliers de ressources attrayantes mais simulées.

Pendant que le cybercriminel tente de pénétrer plus profondément dans ces ressources simulées, à la recherche de propriété intellectuelle, de mots de passe réseau et d'autres données précieuses, Javelin joue avec le pirate comme un saumon pris dans un filet. Javelin ralentit l'attaquant pendant que les outils d'analyse forensique tentent de recueillir des informations sur les cybercriminels eux-mêmes.

Greg Fitzgerald, directeur des opérations et directeur marketing de Javelin, déclare : « Javelin est une technologie de détection d'intrusion de nouvelle génération. Son approche permet à l'attaquant de se révéler par ses actions, c'est-à-dire ce qu'il fait sur une machine compromise. Javelin révolutionne la manière dont les attaquants sont détectés et neutralisés au sein d'une organisation, en partant du principe qu'une attaque aura lieu et qu'une machine sera compromise, qu'il s'agisse ou non d'un logiciel malveillant. Cette technologie permet d'économiser d'importantes ressources, tant financières qu'humaines, en matière de collecte et d'analyse des données, et accélère considérablement le processus de détection d'un attaquant. Les enquêtes classiques actuelles prévoient entre 150 et 200 jours pour identifier un attaquant. Javelin a démontré sa capacité à réduire ce délai de plusieurs mois à quelques minutes. ».

Javelin Networks explique que les attaques ciblées reposent sur la connaissance, par les attaquants, de la topologie interne du réseau de la victime. Javelin les prive de cette information en masquant intégralement cette topologie. Dès que les attaquants agissent sur cette topologie masquée, ils sont repérés par un logiciel de reconnaissance de formes basé sur l'IA, et leur tentative est vaine.

Introduire un « coin » dans la cyberattaque

Wedge Networks, dont le siège social est situé à Calgary, en Alberta, se spécialise dans la prévention des logiciels malveillants et des cyberattaques visant à protéger les réseaux d'entreprise (ou les domiciles des clients) grâce à l'analyse du trafic Internet et cloud. L'entreprise utilise diverses techniques mathématiques pour détecter et empêcher les utilisateurs du réseau d'être infectés par des virus et autres programmes malveillants, notamment les rançongiciels. Sachant que les clients font confiance à la sécurité basée sur les signatures, la plateforme de sécurité cloud de Wedge intègre des scanners de signatures haute vitesse. Wedge a également recours à l'intelligence artificielle pour accélérer la reconnaissance des logiciels malveillants et s'est associée à Cylance afin d'intégrer le système de sécurité des terminaux basé sur l'IA de Cylance à sa solution de sécurité réseau.

Wedge Advanced Malware Blocker exploite l'intelligence artificielle de Cylance et d'autres technologies pour détecter et bloquer les virus et les logiciels malveillants sophistiqués au niveau du réseau, les empêchant ainsi de pénétrer les réseaux d'entreprise. En combinant la technologie d'inspection approfondie de Wedge avec le moteur d'apprentissage automatique de Cylance et l'analyse des menaces WedgeAMB, cette solution offre une approche révolutionnaire de la prévention des logiciels malveillants, selon l'entreprise.

James HamiltonComme l'explique Wedge, les menaces sont bloquées en temps réel, ce qui élimine les coûts, les perturbations, les efforts et les désagréments liés à la lutte contre les menaces une fois qu'elles ont pénétré le réseau. Wedge offre également une visibilité en temps réel sur l'ensemble des menaces au sein du réseau, permettant ainsi aux équipes de sécurité d'identifier et de traiter en priorité les risques les plus critiques.

James Hamilton, PDG de Wedge Networks, déclare : « Nous proposons un nouveau produit qui combine les politiques de cybersécurité traditionnelles, généralement basées sur les signatures ou l’heuristique, avec certaines applications d’apprentissage automatique issues de l’intelligence artificielle. Cette combinaison s’est avérée très populaire et très performante. Grâce à l’apprentissage automatique, il est possible de comprendre les motivations des logiciels malveillants, leur apparence et leur mode de fonctionnement. Il n’est pas nécessaire de connaître leur nature exacte, mais on en connaît les attributs. En analysant l’activité au niveau du terminal, on peut comprendre le comportement du logiciel malveillant et le bloquer. »

WedgeAMB intègre WedgeIQ, un moteur automatisé de veille sur les menaces qui collecte les données de menaces provenant des systèmes AMB de l'entreprise afin de caractériser, corréler, analyser et visualiser le paysage des menaces sur le réseau. Cet outil complet d'analyse des menaces fournit des renseignements permettant d'atténuer en temps réel l'évolution des menaces.

 

Ouvre les portes de la baie réseau, Hal

Le nombre de menaces se multiplie à un rythme alarmant. Selon PandaLabs, plus de 84 millions de nouveaux échantillons de logiciels malveillants ont été collectés en 2015, soit 230 000 nouveaux échantillons par jour. En effet, un quart de million de nouvelles souches de logiciels malveillants sont détectées quotidiennement. Ce rythme ne cesse d'augmenter. Les technologies plus anciennes, comme l'analyse par signature, sont complètement dépassées. La lutte contre les logiciels malveillants et la cybercriminalité exige du renseignement, et notamment de l'intelligence artificielle. Toutes les entreprises de cybersécurité explorent l'IA comme un outil essentiel pour aider leurs clients à protéger leurs réseaux et leurs terminaux ; Cylance, Javelin Networks et Wedge Networks sont à la pointe de cette évolution. C'est une bonne nouvelle pour leurs clients et une mauvaise pour les cybercriminels.

Regardez le documentaire vidéo (en anglais) : vidéo

Auteur : Alan Zeichick, NetEvents