Comment combiner l'expertise humaine et l'IA peut arrêter les cyberattaques
janvier 4, 2022
Crédit image: Getty Images
Renac Z Blog Site
Crédit image: Getty Images
Écoutez les DSI, les CTO et d'autres cadres supérieurs et cadres sur les données et les stratégies d'IA au Sommet sur l'avenir du travail ce 12 janvier 2022. En savoir plus
Le plus grand défi des responsables de la sécurité de l'information (CISO) à l'horizon 2022 est de contrer la vitesse et la gravité des cyberattaques. Les dernières technologies de surveillance et de détection en temps réel améliorent les chances de déjouer une attaque, mais ne sont pas infaillibles. Les RSSI indiquent à VentureBeat que les mauvais acteurs évitent la détection avec les systèmes de surveillance de première ligne en modifiant les attaques à la volée. C'est préoccupant, en particulier avec les RSSI des services financiers et de la santé.
Les entreprises ne parviennent pas à tirer le meilleur parti des stratégies de surveillance, de détection et de réponse des menaces en matière de cybersécurité, car elles sont trop axées sur la collecte de données et la surveillance de la sécurité uniquement. Les RSSI indiquent à VentureBeat qu'ils capturent plus de données de télémétrie (c'est-à-dire à distance) que jamais, mais manquent de personnel pour les déchiffrer, ce qui signifie qu'ils sont souvent en mode réaction.
Les entreprises doivent être plus agressives pour perturber les menaces avant qu'elles n'affectent les opérations. Pour ce faire, les RSSI, ainsi que les PDG et les conseils d'administration dont ils dépendent, doivent considérer les dépenses de cybersécurité comme un investissement commercial, et pas seulement comme un centre de coûts. VentureBeat s'est entretenu avec des RSSI qui affirment que les défis pour devenir préventif en perturbant les menaces potentielles incluent les contraintes budgétaires, le recrutement d'analystes de cybersécurité expérimentés possédant une expertise dans les outils d'analyse des menaces, et la mise à l'échelle de la confiance zéro entre les nouvelles identités de machines et les nouveaux points de terminaison. Ces facteurs, combinés à la gravité et à la vitesse des cyberattaques, conduisent les entreprises à intégrer la détection et la réponse gérées (MDR) dans leurs stratégies plus larges de cybersécurité et informatique. De plus, les RSSI et les équipes de cybersécurité donnent la priorité aux MDR qui peuvent s'intégrer immédiatement à leurs piles technologiques à l'aide d'API pour étendre et élargir les piles et l'infrastructure informatiques actuelles.
Même l'IA et l'apprentissage automatique les plus avancés- les systèmes de surveillance des menaces et de réponse basés sur les menaces ont besoin de temps pour interpréter, apprendre et se défendre contre les nouveaux modèles d'attaque. Les algorithmes d'apprentissage automatique structurés qui reposent sur des réseaux de neurones convolutifs aident à réduire les latences. Cependant, les mauvais acteurs improvisent des techniques d'attaque plus rapidement que les techniques d'IA et de ML ne peuvent réagir.
Les MDR voient une opportunité de marché pour combler les lacunes de détection et de visibilité croissantes dans les entreprises en fournissant des analystes des menaces expérimentés en tant que service. Ils recrutent ces analystes pour renforcer la surveillance et la détection en temps réel avec une expertise humaine afin d'identifier rapidement les anomalies complexes. Le nombre rapidement croissant de MDR ciblant ce problème dans les entreprises suggère que l'analyse humaine identifie les anomalies et les interconnexions non linéaires dans les données avec une plus grande précision, empêchant les violations, les cyberattaques complexes, les attaques sophistiquées de ransomware et les attaques automatisées en obtenant des informations d'identification d'accès privilégié.
Dans son récent Guide du marché des services gérés de détection et de réponse, Gartner a défini le rôle des MDR comme la fourniture de «services de détection et de réponse, fournissant aux clients des fonctions de centre d'opérations de sécurité modernes (MSOC) fournies à distance. Ces fonctions permettent aux organisations de détecter, d'analyser, d'enquêter et de réagir rapidement rapidement grâce à l'atténuation et au confinement des menaces. Les fournisseurs de services MDR offrent une expérience clé en main, en utilisant une pile technologique prédéfinie (couvrant des domaines tels que les services de point de terminaison, de réseau et de cloud) pour collecter des journaux, des données et des informations contextuelles pertinents. La définition de Gartner du MDR et des services adjacents donne la priorité à l'obtention de données et d'analyses, de renseignements sur les menaces et de rapports en temps réel pour éviter les attaques 24h/24 et 7j/7, comme l'illustre le schéma ci-dessous.
Ci-dessus: au minimum, les MDR doivent fournir et gérer une pile technologique sécurisée extensible (idéalement basée sur des API) que leurs clients peuvent intégrer avec pour réaliser la surveillance des menaces en temps réel, la détection et la dissuasion des attaques.
Crédit d'image : Gartner
Étude de Gartner sur les pays émergents technologies prédit que le marché mondial du MDR atteindra 2,15 milliards de dollars d'ici 2025, contre 1,03 milliard de dollars en 2021, soit un taux de croissance annuel composé de 20,2 %. Gartner affirme que les demandes de renseignements des clients ont augmenté de 95% entre 2019 et 2020, les grandes entreprises menant l'évaluation et l'adoption. Le rapport sur les technologies émergentes de Gartner cite également la sophistication croissante des cyberattaques, les pénuries de personnel qualifié et les exigences réglementaires croissantes qui stimulent la croissance du marché. Ces facteurs contribuent aux lacunes croissantes en matière de cybersécurité auxquelles les entreprises sont confrontées aujourd'hui, car elles ne peuvent pas réagir assez rapidement aux menaces.
451 Research's Market Insight Report, Coverage Initiation: Pondurance Takes a Risk-Based L'approche du MDR prévoit que le marché des services de sécurité dépassera les 24,3 milliards de dollars d'ici 2025. Le MDR est l'un des marchés de services de sécurité à la croissance la plus rapide, attirant des fournisseurs tels que Alert Logic, Arctic Wolf, Armor, AT&T, Atos, Binary Defence, Blackpoint Cyber , BlueVoyant, Booz Allen Hamilton, Critical Insight, CrowdStrike, CSIS, Cybereason, F-Secure, Fidelis Cybersecurity, IBM, Kudelski Security, Mnemonic, NCC Group, NTT, Open Systems, Orange Cyberdefense, Pondurance, Secureworks, SentinelOne, Sophos, Trustwave , Verizon, Viking Cloud, VMware et bien d'autres.
Les MDR se différencient sur leurs niveaux de service engagés et l'extensibilité et l'échelle de leur t ech piles. Cependant, Pondurance, un concurrent notable, a récemment annoncé une nouvelle solution d'évaluation des cyber-risques qui combine les connaissances des cyber-experts et une plate-forme technologique innovante pour réduire le risque de violation et améliorer la cyber-résilience. Pondurance affirme que son outil d'évaluation des risques cyber identifie les lacunes dans la couverture de la cybersécurité sur des tableaux de bord intégrés que les entreprises peuvent utiliser pour réduire les risques de violations et de tentatives de ransomware. Sur la base de leurs antécédents en matière d'identification des menaces sur les plates-formes cloud, les réseaux, les utilisateurs, les applications, les points de terminaison et les données de journal traditionnelles, Pondurance affirme que cette nouvelle solution combinée à ses services MDR fondamentaux aidera les organisations à adopter une approche à la fois proactive et offensive et réactive, approche défensive pour améliorer leur posture de sécurité et arrêter les cyberattaques. En juin dernier, Pondurance a acquis Bearing Cybersecurity, un prestataire de services de conseil et d'évaluation. En conséquence, leur plate-forme phare basée sur le cloud, MyCyberScorecard, est désormais intégrée aux solutions Pondurance pour aider à réaliser sa mission de permettre à chaque organisation de détecter et de répondre aux cybermenaces – indépendamment de la taille, du secteur ou des capacités internes actuelles – avec les personnes. et la technologie.
Ci-dessus: La plate-forme Scope permet à l'équipe d'analystes Pondurance MDR et à ses clients de détecter et de répondre aux menaces et prendre des mesures sur les recommandations d'assainissement.
Crédit d'image: Pondurance
Lyndon Brown, directeur de la stratégie chez Pondurance, a déclaré que «Alors que les organisations évoluent rapidement vers un modèle de distribution largement à distance et adoptent de plus en plus les services cloud, la visibilité est devenue difficile à maintenir et à gagner.» La nécessité d'examiner non seulement les journaux, mais également les différents points de vue et de comprendre ce qui se passe dans l'entreprise est un grand défi. Lyndon dit également que les organisations ont réalisé que la recherche sur leurs réseaux et leurs points de terminaison et la recherche de menaces qui peuvent déjà être dans l'environnement est également une exigence de plus en plus importante.
Pondurance déclare que son risque cybernétique Les évaluations optimisées par MyCyberScorecard permettent également la collaboration entre l'entreprise et les propriétaires de système pour combler l'écart entre les politiques, les contrôles et les opérations. De plus, les experts en cyber-risques de Pondurance peuvent communiquer des recommandations directement dans MyCyberScorecard, aidant les clients à prouver aux régulateurs et aux assureurs qu'ils font de réels progrès dans l'atténuation de leurs cyber-risques. Leur approche jette également les bases d'évaluations plus complètes, telles que NIST Cybersecurity Framework (CSF), NIST 800-53, NIST 800-171, Cybersecurity Maturity Model Certification (CMMC), New York State Department of Financial Services (NYDFS), National Loi sur les données de l'Association of Insurance Commissioners (NAIC), les risques de tiers et d'autres à l'avenir.
Identifier et éliminer la source d'une attaque à grande échelle nécessite de repenser la façon dont l'automatisation domine le paysage MDR aujourd'hui . Même les meilleures technologies de surveillance et de détection en temps réel basées sur l'IA et le ML ne peuvent pas suivre la vitesse à laquelle les mauvais acteurs réinventent les stratégies d'attaque à la volée. Au lieu de cela, les RSSI utilisent la vision intuitive des analystes de la cybersécurité combinée aux meilleures informations possibles que les outils et technologies de surveillance en temps réel basés sur l'IA et le ML peuvent fournir. À mesure que le paysage concurrentiel du MDR mûrit, recherchez des approches hybrides qui combinent l'expertise humaine et l'IA pour devenir plus répandues.
La mission de VentureBeat est d'être une place de ville numérique pour les décideurs techniques afin d'acquérir des connaissances sur la technologie transformatrice et d'effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :
des informations à jour sur les sujets qui vous intéressent
nos newsletters
: Apprendre encore plus fonctionnalités de mise en réseau, et plus
Devenir membre