À bien des égards, la cybersécurité a toujours été un défi; les fournisseurs se précipitent pour développer des produits de sécurité capables d’identifier et d’atténuer les menaces, tandis que les cybercriminels visent à développer malware et exploits capables de contourner les protections.
Avec l’émergence de intelligence artificielle (AI), cependant, cet échange combatif entre attaquants et défenseurs est sur le point de devenir plus complexe et de plus en plus féroce.
Selon Max Heinemeyer, directeur de Threat Hunting chez la société de sécurité IA Darktrace, ce n’est qu’une question de temps avant que l’IA ne soit cooptée par des acteurs malveillants pour automatiser les attaques et accélérer la découverte de vulnérabilités.
«Nous ne savons pas précisément quand l’IA offensive commencera à émerger, mais cela pourrait déjà se produire à huis clos», a-t-il déclaré. TechRadar Pro.
«Si nous pouvons [build complex AI products] ici, dans nos laboratoires avec quelques chercheurs, imaginez de quoi les États-nations qui investissent massivement dans la cyberguerre pourraient être capables.
Lorsque cette tendance commence à se manifester, comme cela semble inévitable, Heinemeyer affirme que la cybersécurité deviendra une «bataille d’algorithmes», l’IA étant opposée à l’IA.
Sommaire
L’approche héritée
Traditionnellement, antivirus Les produits reposent sur une approche basée sur les signatures pour se protéger contre les logiciels malveillants. Ces services utilisent une base de données de menaces connues pour identifier les attaques entrantes.
Cependant, le consensus de ces dernières années est que les services basés sur le renseignement sont mal équipés pour gérer le rythme du paysage moderne des menaces. En d’autres termes, à mesure que de nouveaux types de menaces et de nouveaux vecteurs d’attaque apparaissent, ces outils hérités sont impuissants jusqu’à ce qu’ils soient mis à jour avec de nouvelles informations, date à laquelle il est trop tard.
Ce problème ne sera qu’aggraver par l’émergence d’une IA offensive, qui permettra aux cybercriminels d’automatiser les attaques d’une manière jamais vue auparavant, ainsi que d’identifier les exploits potentiels à un rythme plus rapide.
Emotet, un botnet de chargement qui était un exemple de campagne de logiciels malveillants contemporaine capable d’échapper aux solutions de sécurité basées sur les signatures récemment démonté dans une opération de piqûre qui a couvert plusieurs agences de renseignement internationales.
«Emotet est vraiment intéressant car il était très résistant et sa structure extrêmement modulaire. Il a utilisé différents niveaux de sauvegarde et de commande et de contrôle les serveurs, dont certains étaient même peer-to-peer », a expliqué Heinemeyer.
«Fondamentalement, c’était vraiment difficile à suivre car il évoluait constamment. Même si vous parveniez à trouver et à mettre sur liste noire l’infrastructure malveillante, sa signature changerait. »
Le malware se propage également extrêmement rapidement entre les appareils. Lorsqu’il infectait une machine, Emotet récoltait les coordonnées stockées localement pour les utiliser dans d’autres attaques de phishing par courrier électronique. Il fonctionnait également sur la couche réseau, essayant de se frayer un chemin brutalement dans d’autres ordinateurs avec une faible protection par mot de passe.
Les opérateurs Emotet ont monétisé leurs opérations en vendant l’accès aux appareils compromis, que d’autres acteurs de la menace pourraient infecter avec des logiciels malveillants secondaires ou des ransomwares. D’autres types de botnets sont utilisés pour exécuter des attaques DDoS massives, dans le but de perturber les opérations des grandes organisations.
Plus un botnet grandit, plus il devient puissant. Et avec l’augmentation rapide du volume d’appareils connectés en circulation, la portée potentielle des futurs botnets est pratiquement illimitée.
«Avec un paysage numérique mondial élargi, nous nous attendons à ce que l’incidence des botnets augmente. Peut-être pas des botnets comme Emotet, qui vont après une infrastructure non IoT, mais [this trend] ouvre certainement la porte aux hackers pour capitaliser sur la complexité accrue », a déclaré Heinemeyer.
La prochaine frontière
Pour lutter contre les logiciels malveillants en évolution rapide et les menaces de plus en plus complexes, des sociétés de sécurité telles que Darktrace utilisent l’IA pour automatiser la détection et l’atténuation.
Cependant, Darktrace diffère de ses rivaux dans son utilisation de l’apprentissage automatique non supervisé (par opposition à l’apprentissage automatique supervisé), qui n’implique pas de former le système sur des ensembles de données existants.
Au lieu de cela, la plate-forme se connecte à un environnement et effectue diverses mesures pour établir une définition de la normale. Équipé de ces informations, le système est capable de signaler toute activité anormale sur un appareil ou un réseau qui pourrait indiquer une cyberattaque ou un compromis existant.
Et comme la définition des changements normaux au sein d’un réseau donné, comme cela s’est produit lorsque les entreprises ont été forcées de passer à travail à distance au printemps de l’année dernière, le système réagit et se recalibre.
«Le passage au travail à distance a été fascinant d’un point de vue architectural, car les gens travaillent différemment et le paysage des menaces a changé», a déclaré Heinemeyer.
«Tout à coup, il n’y avait que du trafic de serveurs barebones dans le bureau, mais VPN l’activité a explosé. Mais après la première semaine, nous avons eu une idée de ce à quoi la nouvelle normalité ressemblerait. »
Pour l’instant, dit Heinemeyer, l’industrie de la cybersécurité a le dessus, mais ce n’est peut-être pas toujours le cas.
«Nous croyons fermement que nous avons besoin du feu pour combattre le feu. Les outils qui examinent les attaques d’hier ne peuvent même pas tenter de lutter contre les attaques automatisées de demain. »
« Cela peut sembler futuriste, mais nous aurons besoin de l’IA pour lutter contre l’IA. »
