Comment l’intelligence artificielle, l’apprentissage automatique et la sécurité des points de terminaison se chevauchent –
Avec de nouvelles cybermenaces chaque jour, les systèmes de sécurité, en particulier ceux utilisés par les entreprises, doivent s’adapter. Mais au lieu d’avoir constamment besoin de mises à jour de la part de leurs fabricants, que se passerait-il si les logiciels de sécurité des terminaux pouvaient jouer un rôle direct dans leur amélioration?
Sommaire
Qu’est-ce que Endpoint Security et comment fonctionne-t-il?
La sécurité des points de terminaison est le processus de sécurisation des points de terminaison d’un réseau, tels que les appareils des utilisateurs et les comptes en ligne. Les points de terminaison sont des entrées vers le réseau, le connectant à Internet ouvert et à d’autres appareils. En théorie, en sécurisant de manière adéquate les points de terminaison physiques et numériques, l’ensemble de votre réseau doit être protégé des menaces extérieures.
En surveillant les données entrant et sortant du réseau via ses points de terminaison à la recherche de menaces, les logiciels de sécurité des points de terminaison peuvent protéger simultanément de nombreux points d’accès, interceptant les menaces en temps réel. À lui seul, il fonctionne de la même manière que les logiciels antivirus avancés. Mais les cybercriminels élaborent constamment de nouveaux plans d’attaques, à la fois directement et par le biais de logiciels malveillants. Et bien que les logiciels antivirus traditionnels reposent sur la reconnaissance des virus précédemment identifiés, ils ne peuvent pas intercepter les cyberattaques zero-day et à venir.
Le passage de la prévention des menaces à la détection et à la réponse
Une étude du Ponemon Institute, publiée au début de 2020, a estimé qu’environ 42% de toutes les cyberattaques de l’année suivante seraient des attaques zero-day. Le manque de méthodologies identifiables derrière les attaques les rend plus difficiles à repérer et à intercepter dès le début par les logiciels de sécurité des terminaux traditionnels. En plus de chercher un moyen de gérer près de la moitié des futures attaques, les entreprises se rendent compte que les cyberattaques sont inévitables. Cette prise de conscience a créé un besoin collectif de faire passer le modèle de cybersécurité typique de la prévention des menaces à la détection et à la réponse aux menaces, leur permettant d’atténuer les dommages des cyberattaques au lieu de les arrêter complètement.
Au lieu d’un logiciel de sécurité qui analyse les données entrantes à la recherche de logiciels malveillants connus, l’objectif est de détecter les signes qui correspondent souvent à une attaque à venir, qu’elle soit interne ou non. C’est là que les logiciels antivirus traditionnels échouent mais que l’intelligence artificielle et l’apprentissage automatique interviennent.
Données, apprentissage automatique et IA
En utilisant la surveillance du réseau, chaque incident de sécurité ou vulnérabilité causé par un bogue dans le système ou une mauvaise conduite de l’utilisateur est enregistré dans des fichiers journaux. Avec le temps, des points de données spécifiques dans les fichiers journaux peuvent révéler des signaux d’alerte et des tendances en matière de sécurité, comme un comportement inhabituel qui précède une attaque, comme un trafic extrême et des modifications injustifiées des autorisations d’accès et des paramètres. Cependant, des données aussi riches et complexes ne sont utiles qu’après avoir été entièrement catégorisées et analysées, et filtrées le bruit de fond et les entrées de journal de routine avec peu ou pas d’importance ou de relation avec la cybersécurité.
L’IA et l’apprentissage automatique ne sont pas des éléments nécessaires dans les fonctionnalités du logiciel de sécurité des terminaux, mais ils lui permettent d’évoluer et de s’adapter aux nouvelles menaces de sécurité sans avoir besoin d’une intervention humaine directe. L’erreur humaine jouant un rôle majeur dans les lacunes de la cybersécurité, l’automatisation des tactiques d’apprentissage et de croissance permet d’obtenir un produit plus précis et sans risque. En cybersécurité, les données, l’intelligence artificielle et l’apprentissage automatique se renforcent les uns sur les autres.
En alimentant les objets étiquetés de l’algorithme d’apprentissage automatique, le système commence progressivement à reconnaître les différences entre une activité réseau sûre et une activité réseau suspecte, ainsi que les signes et le comportement des utilisateurs qui les ont conduits. De plus, en incluant suffisamment de données sur les réponses de sécurité passées, les systèmes d’apprentissage automatique et d’IA peuvent commencer à identifier des solutions plausibles aux menaces et à exécuter la plus appropriée en un temps record.
Cette intégration soigneuse des données, de l’IA et de l’apprentissage automatique avec la sécurité des points de terminaison se traduit par un système EDR (Endpoint Detection and Response). Au lieu d’avoir plusieurs parties fonctionnant indépendamment, EDR combine les différents types de technologie pour produire une approche de sécurité complète de détection des menaces et d’y répondre automatiquement.
EDR en action
L’utilisation d’EDR ne s’arrête pas à la surveillance des points d’accès de votre réseau pour détecter les virus entrants ou les fuites de données. Ses capacités de surveillance et de détection peuvent pénétrer profondément dans le réseau, à la recherche de menaces sous-jacentes et de vulnérabilités de sécurité.
Menaces internes
Les menaces internes sont des menaces de sécurité malveillantes pour une organisation qui proviennent de l’intérieur. L’auteur peut être n’importe qui, des employés actuels et anciens aux associés commerciaux et aux entrepreneurs indépendants. Étant donné que ces personnes ont souvent un accès privilégié et des informations sur l’organisation, les logiciels de sécurité qui protègent uniquement les points d’accès ne sont pas d’une grande utilité. Mais en utilisant l’analyse comportementale et les données de journal, EDR peut détecter les comportements malveillants à l’intérieur du réseau. Il peut répondre par les actions appropriées et envoyer des alertes aux services informatiques et de sécurité.
Logiciel malveillant sans fichier
Bien que les logiciels antivirus et de sécurité des points finaux traditionnels puissent intercepter les virus connus, ils échouent lorsque la menace n’est pas un fichier à analyser à la recherche de logiciels malveillants. Les logiciels malveillants sans fichier sont des logiciels malveillants qui n’utilisent pas ou ne contiennent pas de fichiers exécutables, mais un peu de code qui se cache directement dans la mémoire de l’appareil. Et au lieu d’avoir tout ce dont il a besoin pour lancer une attaque comme la plupart des virus, les logiciels malveillants sans fichier utilisent les hippodromes et les composants du système contre lui, exécutant des scripts légitimes aux côtés de programmes sûrs pour masquer son existence.
EDR peut arrêter les attaques de logiciels malveillants sans fichier en détectant les changements infimes dans les journaux de données et le comportement des terminaux ou des appareils, en s’appuyant sur une surveillance constante et la capacité de reconnaître ces modèles.
Erreur humaine
La grande majorité des violations de données et des cyberattaques réussies sont dues à une erreur humaine, où les employés ou les sous-traitants ne pratiquent pas une cybersécurité solide lorsqu’ils utilisent leurs appareils de travail, ce qui entraîne une faille de sécurité dont les pirates informatiques peuvent facilement tirer parti. Mais grâce aux capacités de surveillance du réseau, de reconnaissance de formes et d’analyse comportementale d’EDR basées sur l’IA, il peut aider à détecter les vulnérabilités de sécurité dans le système causées à leur insu par les employés, presque immédiatement, au lieu de plusieurs semaines. Sans oublier, EDR réduit le temps nécessaire pour détecter les menaces persistantes avancées (ADT), qui ciblent les employés sans méfiance sur une longue période.
Points de terminaison intrinsèquement non sécurisés
Les appareils Internet des objets (IoT) sont plus essentiels que jamais pour la plupart des organisations et des bureaux, mais ils sont souvent le maillon le plus faible de leur sécurité. Bien qu’il soit peu pratique de garder les appareils IoT hors ligne dans des environnements de travail trépidants et au rythme rapide, leur connexion à Internet pose un risque pour la sécurité. Après tout, le rapport Threat Intelligence de NETSCOUT de 2018 a révélé que les appareils IoT étaient attaqués à peine cinq minutes après leur connexion à Internet.
Avec des points de terminaison intrinsèquement non sécurisés, il est important de s’appuyer sur la détection et la surveillance des menaces en temps réel qu’EDR a à offrir. C’est particulièrement vrai avec la plupart des appareils IoT qui ne sont pas conçus pour la sécurité, mais pour la commodité et la facilité d’utilisation.