Automatisation, prédictions, génération de textes ou d’images... Les usages de l’IA se multiplient et s’étendent. Mais concrètement, dans la cybersécurité, et précisément pour l’EDR d’HarfangLab, quels sont ces usages ? Avec quels objectifs et pour quels résultats ? On vous explique.
Pour commencer, l’IA c’est quoi ? Définition.
“L’IA, c’est un modèle appliqué à un usage, c’est du Machine Learning dans une app. Autrement dit, pour un EDR, c'est par exemple du Deep Learning appliqué à la détection de malwares.”
Constant Bridon, Lead IA – HarfangLab
Et dans l’EDR d’HarfangLab, que fait l’Intelligence Artificielle ?
Pour identifier les menaces et y remédier, HarfangLab s’appuie sur différents moteurs dont une IA qui peut être activée sur l’ensemble des endpoints.
Ce moteur est un méta-modèle nommé HL-AI qui repose sur 2 familles d’algorithmes, et qui permet de déterminer la criticité des alertes de sécurité :
- Gradient Boosted Trees (GBT)
Discrimine les malwares / goodware sur la base de variables extraites du fichier exécutable.
240 : c’est le nombre de variables pour identifier les fichiers malveillants - Convolutional Neural Networks (CNN)
Réseau neuronal convolutif appliqué sur une transposition en image des fichiers binaires (malwares / goodwares).
1M : c’est le nombre de paramètres (GPT3 en compte 175 milliards)
L'avantage de combiner ces deux méthodes est de pouvoir choisir entre :
- diminuer les faux positifs en conservant les performances de détection,
- ou ouvrir les vannes pour détecter un maximum de fichiers malveillants, au prix d'un nombre de faux positifs légèrement plus élevé.
Et ce n’est pas tout.
Concrètement, quels sont les avantages du moteur d’Intelligence Artificielle HL-AI ?
- Une capacité à contenir le risque en amont, en prédisant la nocivité d’un fichier au moment de son exécution.
- Un moteur qui tourne directement dans l’agent pour une protection optimale du terminal même s’il n’est pas connecté à un réseau.
- La possibilité d’identifier des menaces inconnues des bases de fichiers malveillants, et de renforcer la protection en complétant les règles de détection.
- Des librairies et des modèles optimisés : notre réseau de neurones fait au maximum 5MB, dépendances incluses !
Un moteur en amélioration continue
La menace cyber évolue en permanence, c’est pourquoi le moteur est entraîné régulièrement pour s’adapter aux risques.
Sur la base d’environ 2 millions de fichiers, les modèles sont améliorés à chaque version pour viser un taux de faux positifs le plus faible possible, sans dégrader la capacité de détection.
Evolution du nombre de faux positifs, divisé par 10 entre les versions 2.10 et 2.30
(exemple pour les fausses alertes Critical sur Windows, représentatif de la tendance pour l’ensemble des faux positifs)
La sensibilité des moteurs de détection est aussi affinée en tirant parti de leur complémentarité, afin de réduire au maximum les faux positifs.
En pratique, HL-AI est un moteur de détection qui travaille en complément des autres moteurs Sigma / Yara / IOC / Ransomware.
Aussi, il est possible de chercher à le spécialiser là où les autres moteurs ont des lacunes, tout en réduisant sa sensibilité sur des alertes déjà couvertes.
Envie d’en savoir plus sur ce que fait notre EDR
pour détecter et remédier aux menaces ?