Comment combiner l'expertise humaine et l'IA peut arrêter les cyberattaques
janvier 4, 2022
Crédit image: Getty Images
Écoutez les DSI, les CTO et d'autres cadres supérieurs et cadres sur les données et les stratégies d'IA au Sommet sur l'avenir du travail ce 12 janvier 2022. En savoir plus
Le plus grand défi des responsables de la sécurité de l'information (CISO) à l'horizon 2022 est de contrer la vitesse et la gravité des cyberattaques. Les dernières technologies de surveillance et de détection en temps réel améliorent les chances de déjouer une attaque, mais ne sont pas infaillibles. Les RSSI indiquent à VentureBeat que les mauvais acteurs évitent la détection avec les systèmes de surveillance de première ligne en modifiant les attaques à la volée. C'est préoccupant, en particulier avec les RSSI des services financiers et de la santé.
Les entreprises sont en mode réaction
Les entreprises ne parviennent pas à tirer le meilleur parti des stratégies de surveillance, de détection et de réponse des menaces en matière de cybersécurité, car elles sont trop axées sur la collecte de données et la surveillance de la sécurité uniquement. Les RSSI indiquent à VentureBeat qu'ils capturent plus de données de télémétrie (c'est-à-dire à distance) que jamais, mais manquent de personnel pour les déchiffrer, ce qui signifie qu'ils sont souvent en mode réaction.
Les entreprises doivent être plus agressives pour perturber les menaces avant qu'elles n'affectent les opérations. Pour ce faire, les RSSI, ainsi que les PDG et les conseils d'administration dont ils dépendent, doivent considérer les dépenses de cybersécurité comme un investissement commercial, et pas seulement comme un centre de coûts. VentureBeat s'est entretenu avec des RSSI qui affirment que les défis pour devenir préventif en perturbant les menaces potentielles incluent les contraintes budgétaires, le recrutement d'analystes de cybersécurité expérimentés possédant une expertise dans les outils d'analyse des menaces, et la mise à l'échelle de la confiance zéro entre les nouvelles identités de machines et les nouveaux points de terminaison. Ces facteurs, combinés à la gravité et à la vitesse des cyberattaques, conduisent les entreprises à intégrer la détection et la réponse gérées (MDR) dans leurs stratégies plus larges de cybersécurité et informatique. De plus, les RSSI et les équipes de cybersécurité donnent la priorité aux MDR qui peuvent s'intégrer immédiatement à leurs piles technologiques à l'aide d'API pour étendre et élargir les piles et l'infrastructure informatiques actuelles.
L'apprentissage des menaces doit évoluer plus rapidement
Même l'IA et l'apprentissage automatique les plus avancés- les systèmes de surveillance des menaces et de réponse basés sur les menaces ont besoin de temps pour interpréter, apprendre et se défendre contre les nouveaux modèles d'attaque. Les algorithmes d'apprentissage automatique structurés qui reposent sur des réseaux de neurones convolutifs aident à réduire les latences. Cependant, les mauvais acteurs improvisent des techniques d'attaque plus rapidement que les techniques d'IA et de ML ne peuvent réagir.
Les MDR voient une opportunité de marché pour combler les lacunes de détection et de visibilité croissantes dans les entreprises en fournissant des analystes des menaces expérimentés en tant que service. Ils recrutent ces analystes pour renforcer la surveillance et la détection en temps réel avec une expertise humaine afin d'identifier rapidement les anomalies complexes. Le nombre rapidement croissant de MDR ciblant ce problème dans les entreprises suggère que l'analyse humaine identifie les anomalies et les interconnexions non linéaires dans les données avec une plus grande précision, empêchant les violations, les cyberattaques complexes, les attaques sophistiquées de ransomware et les attaques automatisées en obtenant des informations d'identification d'accès privilégié.
Dans son récent Guide du marché des services gérés de détection et de réponse, Gartner a défini le rôle des MDR comme la fourniture de «services de détection et de réponse, fournissant aux clients des fonctions de centre d'opérations de sécurité modernes (MSOC) fournies à distance. Ces fonctions permettent aux organisations de détecter, d'analyser, d'enquêter et de réagir rapidement rapidement grâce à l'atténuation et au confinement des menaces. Les fournisseurs de services MDR offrent une expérience clé en main, en utilisant une pile technologique prédéfinie (couvrant des domaines tels que les services de point de terminaison, de réseau et de cloud) pour collecter des journaux, des données et des informations contextuelles pertinents. La définition de Gartner du MDR et des services adjacents donne la priorité à l'obtention de données et d'analyses, de renseignements sur les menaces et de rapports en temps réel pour éviter les attaques 24h/24 et 7j/7, comme l'illustre le schéma ci-dessous.
Ci-dessus: au minimum, les MDR doivent fournir et gérer une pile technologique sécurisée extensible (idéalement basée sur des API) que leurs clients peuvent intégrer avec pour réaliser la surveillance des menaces en temps réel, la détection et la dissuasion des attaques.
Crédit d'image : Gartner
Les lacunes en matière de cybersécurité alimentent un marché en croissance
Étude de Gartner sur les pays émergents technologies prédit que le marché mondial du MDR atteindra 2,15 milliards de dollars d'ici 2025, contre 1,03 milliard de dollars en 2021, soit un taux de croissance annuel composé de 20,2 %. Gartner affirme que les demandes de renseignements des clients ont augmenté de 95% entre 2019 et 2020, les grandes entreprises menant l'évaluation et l'adoption. Le rapport sur les technologies émergentes de Gartner cite également la sophistication croissante des cyberattaques, les pénuries de personnel qualifié et les exigences réglementaires croissantes qui stimulent la croissance du marché. Ces facteurs contribuent aux lacunes croissantes en matière de cybersécurité auxquelles les entreprises sont confrontées aujourd'hui, car elles ne peuvent pas réagir assez rapidement aux menaces.
451 Research's Market Insight Report, Coverage Initiation: Pondurance Takes a Risk-Based L'approche du MDR prévoit que le marché des services de sécurité dépassera les 24,3 milliards de dollars d'ici 2025. Le MDR est l'un des marchés de services de sécurité à la croissance la plus rapide, attirant des fournisseurs tels que Alert Logic, Arctic Wolf, Armor, AT&T, Atos, Binary Defence, Blackpoint Cyber , BlueVoyant, Booz Allen Hamilton, Critical Insight, CrowdStrike, CSIS, Cybereason, F-Secure, Fidelis Cybersecurity, IBM, Kudelski Security, Mnemonic, NCC Group, NTT, Open Systems, Orange Cyberdefense, Pondurance, Secureworks, SentinelOne, Sophos, Trustwave , Verizon, Viking Cloud, VMware et bien d'autres.
Arrêter les attaques avec la perspicacité humaine et l'IA
Les MDR se différencient sur leurs niveaux de service engagés et l'extensibilité et l'échelle de leur t ech piles. Cependant, Pondurance, un concurrent notable, a récemment annoncé une nouvelle solution d'évaluation des cyber-risques qui combine les connaissances des cyber-experts et une plate-forme technologique innovante pour réduire le risque de violation et améliorer la cyber-résilience. Pondurance affirme que son outil d'évaluation des risques cyber identifie les lacunes dans la couverture de la cybersécurité sur des tableaux de bord intégrés que les entreprises peuvent utiliser pour réduire les risques de violations et de tentatives de ransomware. Sur la base de leurs antécédents en matière d'identification des menaces sur les plates-formes cloud, les réseaux, les utilisateurs, les applications, les points de terminaison et les données de journal traditionnelles, Pondurance affirme que cette nouvelle solution combinée à ses services MDR fondamentaux aidera les organisations à adopter une approche à la fois proactive et offensive et réactive, approche défensive pour améliorer leur posture de sécurité et arrêter les cyberattaques. En juin dernier, Pondurance a acquis Bearing Cybersecurity, un prestataire de services de conseil et d'évaluation. En conséquence, leur plate-forme phare basée sur le cloud, MyCyberScorecard, est désormais intégrée aux solutions Pondurance pour aider à réaliser sa mission de permettre à chaque organisation de détecter et de répondre aux cybermenaces – indépendamment de la taille, du secteur ou des capacités internes actuelles – avec les personnes. et la technologie.
Ci-dessus: La plate-forme Scope permet à l'équipe d'analystes Pondurance MDR et à ses clients de détecter et de répondre aux menaces et prendre des mesures sur les recommandations d'assainissement.
Crédit d'image: Pondurance