Voici ce qui compte le plus lorsqu’il s’agit d’intelligence artificielle (IA) dans le domaine de la cybersécurité : Les résultats.
À mesure que le paysage des menaces évolue et que l‘IA générative s’ajoute aux outils à la disposition des défenseurs et des attaquants, l’évaluation de l’efficacité relative des différentes offres de sécurité basées sur l’IA devient de plus en plus importante et difficile.
Poser les bonnes questions peut vous aider à repérer les solutions qui apportent de la valeur et un retour sur investissement, plutôt qu’un simple battage marketing. Des questions telles que “Vos outils d’IA prédictive peuvent-ils bloquer suffisamment ce qui est nouveau ? ou encore “Quel élément signale réellement le succès d’une plateforme de cybersécurité alimentée par l’intelligence artificielle ?”
Comme l’atteste le portefeuille de brevets de BlackBerry en matière d’IA et de ML (machine learning), BlackBerry est un leader dans ce domaine et a développé un point de vue exceptionnellement bien informé sur ce qui fonctionne et pourquoi.
Évolution de l’IA dans la cybersécurité
Certaines des premières utilisations de la ML et de l’IA dans la cybersécurité remontent au développement de CylancePROTECT® EPP (endpoint protection platform) il y a plus d’une décennie.
Cependant, la prévision et la prévention de nouvelles attaques de logiciels malveillants sont sans doute plus cruciales aujourd’hui, car l’IA générative aide les acteurs de la menace à écrire et à tester rapidement de nouveaux codes.
Le dernier rapport BlackBerry Global Threat Intelligence Report a révélé une augmentation de 13 % des nouvelles attaques de logiciels malveillants, d’un trimestre à l’autre.
La prévention de ces attaques est un défi permanent, mais heureusement, l’évolution des attaques s’accompagne d’une évolution de la technologie.
Les équipes de science des données et d’apprentissage automatique de BlackBerry améliorent continuellement la performance et l’efficacité des modèles pour les outils d’IA prédictive de l’entreprise.
Des tests tiers récents révèlent que les CylanceENDPOINT® bloquent 98,9 % des menaces parce qu’ils peuvent prédire activement le comportement des logiciels malveillants, même s’il s’agit d’une toute nouvelle variante.
Atteindre ce niveau d’efficacité est difficile et nécessite un entraînement précis du modèle sur le bon type d’indicateurs.
Au cours des dix dernières années, BlackBerry n’a cessé d’innover, d’expérimenter et de faire évoluer son IA pour obtenir les meilleurs résultats.
Parmi les changements majeurs opérés, citons le passage de l’étiquetage humain supervisé dans les premiers modèles à une approche de formation composite, comprenant l’apprentissage non supervisé, supervisé et actif, à la fois dans le cloud et localement sur les terminaux que Blackberry protége.
BlackBerry a également optimisé les attributs et les ensembles de données utilisées pour obtenir les meilleurs résultats prédictifs, après avoir examiné des volumes de données extrêmement importants au fil du temps.
Le résultat de cette évolution continue est un modèle qui s’adapte très bien aux applications du monde réel : Un modèle capable de prédire et d’anticiper avec précision les nouvelles menaces.
Avantage temporel : le temps est à prendre en compte !
Aujourd’hui, les discussions concernant la qualité et l’efficacité des modèles de ML tournent souvent autour de la taille du modèle, du nombre de paramètres et de la performance dans des données de test établies, sans tenir compte du résultat le plus important qu’une bonne IA peut fournir : le temps.
Dans certains domaines comme le langage, la vision, la catégorisation d’objets et les tâches d’identification; le temps n’est pas un attribut critique pour l’évaluation. En revanche, dans le domaine de la cybersécurité, le temps a une grande importance.
Le temps est essentiel pour la détection des menaces dans le contexte de la protection pré-exécution des logiciels malveillants.
Les modèles identifient et bloquent les logiciels malveillants avant qu’ils ne se déploient et ne s’exécutent.
En plus de la prédiction des comportements adverses grâce à l’apprentissage automatique, la validation des modèles doit tenir compte de la résilience temporelle, c’est-à-dire qu’ils doivent faire la preuve de leur efficacité contre les attaques passées et futures.
L’une des mesures les plus importantes dans ce contexte est l’avantage prédictif du modèle dans le temps.
L’avantage prédictif temporel (APT) est un terme utilisé par l’équipe de science des données BlackBerry pour évaluer les performances de ses modèles face aux menaces futures.
Ce concept remonte à l’évaluation des algorithmes de sécurité ou des conceptions de chiffrement qui mesurent l’invariance temporelle cryptographique; en d’autres termes, si la réponse du système à un signal d’entrée est prévisible et correcte, quelque soit le moment où ce signal d’entrée se produit.
Voici un exemple : étant donné que nous ne pouvons pas avancer ou reculer rapidement, les modèles sont entraînés en utilisant des classes de logiciels malveillants du passé et sont testés contre des logiciels malveillants plus récents du présent.
L’objectif de ces tests temporels est de valider les performances généralisées dans le temps, ce qui est crucial pour détecter la protection Zero Day.
Ces tests aident BlackBerry à former l’architecture du modèle et à évaluer sa capacité à apprendre et à détecter les intentions malveillantes.
Il est raisonnable de se poser la question : « Pourquoi est-ce important ? » Après tout, les modèles peuvent être mis à jour fréquemment dans le cloud, qui est généralement l’endroit à partir duquel la plupart des modèles sont servis.
Cependant, de nombreux points de terminaison, comme dans l’IoT, les secteurs réglementés ou les points de terminaison déconnectés et même intentionnellement isolés, ne sont pas connectés au cloud.
La mise à jour des modèles n’est pas toujours réalisable dans ces cas-là.
Dans les modèles ML fortement dépendants du cloud, une perte de connectivité peut réduire considérablement les taux de détection.
Cependant, une récente analyse tierce révèle que la façon dont BlackBerry a construit son modèle “BlackBerry Cylance”, la détection des logiciels malveillants et la protection continue se produisent au même niveau, quelle que soit la connectivité. Donc compatibles avec le cloud, mais sans en dépendre.
Et voici une autre remarque importante : si votre fournisseur propose des mises à jour fréquentes du modèle, cela peut indiquer l’immaturité d’un modèle ML.
Sans les mises à jour, ce modèle pourrait connaître une dérive plus rapide (une perte de puissance prédictive) et une augmentation rapide des erreurs de classe de logiciels malveillants.
En revanche, le graphique ci-dessous illustre l’avantage prédictif temporel (TPA) en mois, lorsque le modèle Cylance de quatrième génération a été testé contre de nouvelles classes de logiciels malveillants. Combien de temps dans le futur a-t-il détecté et bloqué les menaces sans mise à jour du modèle ?
La protection a duré jusqu’à 18 mois sans mise à jour du modèle.
Encore une fois, cela révèle la maturité du modèle et une formation précise du modèle. Cela n’arrive pas par hasard.
Une IA mature prédit et prévient les futures menaces évasives
CylanceENDPOINT dispose d’une nouvelle technologie d’inférence de modèle ML qui le distingue.
Il peut comprendre ou « déduire » si quelque chose constitue une menace, même s’il ne l’a jamais vu auparavant.
BlackBerry utilise une méthode hybride unique d’inférence distribuée, un concept conçu il y a sept ans, avant la disponibilité des bibliothèques ML et des outils de création de modèles.
Le résultat de cette approche est le dernier modèle, qui représente le summum de l’innovation et des améliorations au fil des nombreuses générations de cette technologie.
Pour voir dans quelle mesure l’IA mature détecte les logiciels malveillants évasifs, consultez le tableau ci-dessous et regardez la détection des logiciels malveillants Sality et Parite à titre d’exemple.
Il s’agit de variantes polymorphes de logiciels malveillants, qui créent plusieurs versions d’elles-mêmes pour tenter d’éviter d’être détectées.
Ceux-ci sont très difficiles à détecter à l’aide de méthodes conventionnelles, telles que les signatures et les heuristiques, ou avec des méthodes d’apprentissage automatique immatures.
Tous les modèles d’IA et de ML ne sont pas créés égaux, quelle que soit la manière dont ils sont commercialisés.
RedLine Infostealer est apparu début 2020 en tant que malware en tant que service avec une réplication élevée.
Il se cache fréquemment sur ChatGPT, Bard, les publicités Facebook, etc.
Pourrait-il être facilement détecté ? Les graphiques ci-dessous montrent les performances du modèle par rapport à deux classes, la classe de malware polymorphe Sality et la classe de malware en tant que service RedLine. (Remarque : PE4C, PE6E et PE7D sont des générations de modèles, PE7D étant la plus récente).
L’avantage prédictif temporel des modèles transparaît assez bien dans ces résultats.
Le modèle de sixième génération, lancé il y a plus de trois ans, identifie de manière décisive ou « condamne » le malware et la dernière mise à jour de modèle condamne plus de 99 % des variantes les plus récentes de RedLine (dans ce tableau, plus c’est mieux).
Vous trouverez ci-dessous quelques graphiques supplémentaires des performances du modèle par rapport à des classes spécifiques de ransomwares intéressants tels que LockBit (à gauche) et Maze (à droite).
Ces résultats montrent un avantage prédictif similaire aux modèles ML BlackBerry.
Il convient également de noter que la version la plus récente, le PE7D, condamne plus de 99 % de ces variantes.
Un score inférieur est préférable dans ce cas, car il reflète le taux d’omission en pourcentage du total.
Le taux d’échec du modèle de nouvelle génération est inférieur à 0,005 % et les résultats sont inférieurs à 0,01 % pour les générations précédentes, toutes catégories confondues, observés sur une période de 30 jours sur les types de logiciels malveillants récents.
Prédire les logiciels malveillants : le modèle Cylance le plus mature
Avec un accès à des ensembles de données vastes et diversifiés, comprenant des pétaoctets de données et des comportements de logiciels malveillants observés au fil du temps, notre modèle le plus récent est également notre version la plus puissante à ce jour.
Il a surpassé tous ses prédécesseurs sur divers indicateurs de performance, notamment l’avantage prédictif temporel.
Après plus de 500 millions d’échantillons évalués sur des milliards de fonctionnalités et des résultats d’inférence des générations précédentes capturant des informations au fil du temps, BlackBerry Cylance AI continue de fournir des résultats hautement souhaitables.
Il offre également une vitesse impressionnante car il prend en charge l’inférence distribuée, à la fois localement et dans le cloud.
L’application de l’apprentissage automatique dans la cybersécurité est bien établie et BlackBerry est fiers de participer et de stimuler l’innovation dans ce domaine. Alors que les attaquants continuent d’adopter l’IA, il est plus important que jamais de veiller à ce que votre posture défensive en matière de cybersécurité se concentre sur les résultats qui comptent.
Cylance AI protège les entreprises et les gouvernements du monde entier contre les cyberattaques depuis sa création, avec un avantage prédictif sur plusieurs années.
Cylance AI de BlackBerry aide les clients à bloquer 36 % de logiciels malveillants en plus, 12 fois plus rapidement et avec 20 fois moins de frais généraux que la concurrence.
Ces résultats démontrent que toutes les IA ne sont pas créées de la même manière. Et toutes les IA ne sont pas des IA Cylance.
Plus d’informations concernant les solutions :
