Dans un livre blanc intitulé "Beyond the Hype : AI in your SOC", la multinationale américaine IBM présente huit postures auxquelles les analyses de sécurité doivent s’attendre avec l’IA.
1 - Analyser automatiquement différents incidents potentiels
L’IA est un programme informatique inspiré du fonctionnement de l’intelligence humaine. Elle détecte les connexions, montre les interrelations entre les données et permet de trouver des points communs entre les incidents informatiques en utilisant le raisonnement cognitif. Ceci permet à l’IA de fournir des commentaires exploitables avec le contexte. En outre, l'IA est capable de recueillir des menaces extérieures pour aider les professionnels de sécurité à ajouter plus de contextes à leur analyse et à capter ce que les autres peuvent ne pas voir.
2 - Résoudre un problème de personnel
L’IA ne part pas en vacances et ne quitte jamais l’entreprise pour un autre travail. Avec l’IA, l’entreprise analyse des causes profondes d’un problème et peut anticiper les prochaines étapes en fonction des connaissances qu'elle a acquises sur les menaces et sur une organisation.
3 - Mener des enquêtes cohérentes et approfondies
Après un programme d’entrainement au cours duquel on lui apprend à reconnaître le travail à faire, l'IA peut lire à la fois des données non structurées et structurées - plus qu'il n'est humainement possible de lire. Cet état de fait permet à l’IA de donner les informations dont un CISO a besoin pour réduire le temps moyen de détection d’une menace et le temps moyen de réponse (MTTD et MTTR). Ainsi, l'IA peut conduire de manière cohérente et plus approfondie des enquêtes, et fournir des analyses avancées sur des menaces connues et inconnues, plutôt que de se fier à une intuition.
4 - Mener des enquêtes plus approfondies en une fraction de temps
Un analyste de sécurité peut tirer parti de l'IA pour explorer automatiquement des données de recherche/renseignement sur les menaces et mener des enquêtes plus approfondies et cohérentes en un temps record. Tout en établissant une corrélation entre les renseignements, l’IA offre une vue plus complète d’une menace.
5 - Se concentrer d'abord sur les alertes les plus critiques
L’IA permet aux professionnels de sécurité d’établir efficacement une hiérarchie des alertes afin de pouvoir se concentrer dans un premier temps sur les alertes les plus critiques,découvrir les faux négatifs et les faux positifs, et réduire considérablement les risques de ne pas détecter des incidents critiques.
6 - Tirer parti de MITRE ATT&CK pour des enquêtes plus efficaces sur les menaces
Les MITRE ATT&CK sont des tactiques, techniques et connaissances communes contradictoires qui permettent de classer et décrire les cyberattaques et les intrusions. Une cartographie des actions de l'attaquant, par le prisme du MITRE ATT&CK, permet au professionnel de sécurité de représenter visuellement une chronologie des événements montrant la progression d'une menace. En tirant parti de ces connaissances, il peut enquêter plus rapidement et plus précisément sur les menaces, réduisant ainsi le temps de réponse.
7 - Obtenir une vue complète de l'enquête
L’IA fournit par ailleurs une analyse croisée des enquêtes représentant une vue plus globale de l'enquête au-delà de l’incident. En effet, elle identifie et connecte les alertes liées à la même attaque qui, à première vue, semblent sans rapport, réduisant ainsi le nombre d'alertes et la duplication du travail.
8 - Automatiser le flux de travail qui couvre les personnes, processus et technologie
Grâce à une réponse rapide et complète basée sur des données et des preuves, l'IA automatise le flux de travail et la réparation. Elle permet aux centres des opérations de sécurité (SOC) d'évaluer et d'affiner continuellement leurs processus de réponses aux incidents informatiques.