Comment l'intelligence artificielle améliore la cybersécurité ?

Comment l'intelligence artificielle améliore la cybersécurité ?

Rédigé le 30/11/2019
Communiqué de Check Point Software

Les cyberattaques continuent d'évoluer à un rythme de plus en plus rapide. Elles sont devenues plus sophistiquées et plus dangereuses qu’il y a quelques années. La rapidité de l'évolution des logiciels malveillants, le nombre croissant d'appareils, de réseaux et de technologies nécessitant une protection, ainsi que les pétaoctets de données à traiter, empêchent les modèles nécessitant une intervention humaine de fournir une protection complète et actualisée. En s'appuyant uniquement sur des moteurs de détection traditionnels, les entreprises s’exposent à des attaques extrêmement nuisibles. Elles sont donc confrontées à un besoin urgent de renforcer et d'améliorer continuellement leur cybersécurité.

Intégration de l'IA aux quatre étapes du cycle de sécurité adaptative

Check Point relève ce défi en incorporant des solutions d'intelligence artificielle (IA) dans son architecture de sécurité multicouches unifiée. L’entreprise fournit un système intelligent et amélioré en continu, qui non seulement détecte, mais stoppe activement les attaques complexes et sophistiquées.

Pour Gartner, les quatre étapes d’une architecture de sécurité adaptative sont les suivantes : prédire, empêcher, détecter et traiter. Dans cet article, nous étudions des exemples concrets montrant comment Check Point incorpore l'IA dans chacune des quatre étapes pour améliorer les taux de détection, réduire le nombre de faux positifs et améliorer la réactivité.

Prédire un extracteur de cryptomonnaie inconnu

Les attaques ont tendance à se propager rapidement sur les réseaux des entreprises une fois que le système est infecté, causant de graves dommages très rapidement. Par conséquent, il est essentiel de prévoir les attaques avant qu’elles ne frappent.

Les attaquants utilisent fréquemment un nom de fichier similaire à des programmes légitimes de confiance (Technique de déguisement Mitre ATT&CK™) pour tromper les administrateurs système ou les programmes de sécurité en leur faisant croire il s’agit d’un fichier inoffensif. Les processus légitimes utilisent parfois également des noms de processus similaires. Par conséquent, classer un événement comme étant malveillant en se basant uniquement sur la similarité des noms pourrait entraîner de nombreuses fausses alertes ou l’omission de menaces réelles.

Pour identifier efficacement et précisément les nouveaux logiciels malveillants, Check Point a développé un moteur d’intelligence artificielle unique qui évalue le comportement des processus, puis les classifie. Dans cet exemple, SandBlast Agent a détecté un processus similaire dans l'un des postes d’un client de Check Point. Le moteur Behavioral Guard AI de Check Point a ensuite évalué le comportement du processus et l’a classifié comme un logiciel malveillant d’extraction de cryptomonnaie. À ce stade, la tentative d’attaque a été repoussée.

Stopper une nouvelle variante du cheval de Troie Fareit

Il est moins coûteux d’empêcher une attaque que de détecter et de remédier au problème après que le logiciel malveillant ait infecté le réseau et causé des dommages. C'est pourquoi Check Point a beaucoup investi dans le développement de moteurs d'IA pour la prévention des menaces. Grâce à ces moteurs d'IA sophistiqués, Check Point est en mesure de proposer la meilleure technologie de prévention du marché, comme le prouvent les dizaines de tests indépendants effectués par des tiers.

Fareit est un cheval de Troie découvert en 2012. Ses variantes volent généralement les informations confidentielles des utilisateurs telles que les mots de passe, les comptes FTP et autres identifiants stockés dans les navigateurs web. Fareit a été détecté par le modèle d'IA d'émulation dynamique de Check Point cinq jours avant sa première apparition dans Virus Total.

Check Point Threat Emulation est une technologie de bac à sable intégrée dans les réseaux sur site et dans le Cloud. La solution incorpore un modèle d'IA qui évalue les actions entreprises par un fichier exécutable au cours de son exécution. Le modèle génère un score pour déterminer si le fichier est malveillant. Si le modèle détermine que le fichier est malveillant, SandBlast Network le bloquera alors et empêchera l'attaque. Ce modèle d'IA intervient dans 50 % des détections effectuées par Check Point Threat Emulation.
Nous vous présenterons des exemples supplémentaires d'utilisation de l'IA dans les étapes de détection et de traitement du cycle de sécurité adaptative.