Outre la détection de menaces connues, un EDR sait identifier les menaces inconnues, qui ne sont pas répertoriées dans les bases de virus, et c’est notamment grâce au concours de l’Intelligence Artificielle (IA).
En effet, l’IA a vocation à compléter le travail de détection des moteurs Indicateurs de compromission, basés sur signature, comportementaux...
L’apport de l’IA en matière de cybersécurité est aujourd’hui avéré, et en tant que Responsable Infrastructure, RSSI ou DSI, vous vous posez peut-être un certain nombre de questions, par exemple, à propos :
- de la consommation des ressources induite par l’utilisation de l’IA ;
- des mises à jour en vue de suivre l’évolution des menaces ;
- de la couverture par typologie d’endpoint et d’OS.
En 3 points, voici des réponses à la lumière du travail réalisé par des équipes techniques d’HarfangLab.
Nous allons voir que sécurité, capacité de détection et expérience utilisateur sont bel et bien compatibles ; et également comment l’EDR d’HarfangLab permet à la fois de protéger un SI en faisant face à l’évolution de la menace, tout en préservant les performances des postes de travail et des serveurs.
Miniaturisation des modèles d’IA
pour une consommation des ressources et une capacité de détection optimales.
Le package d’installation d’un agent pèse plusieurs dizaines de Mo. Si du poids venait encore s’ajouter pour inclure un modèle d’IA, les performances des terminaux (ou endpoints) seraient nécessairement dégradées.
Pour éviter ce problème, outre la capacité d'un agent à consommer très peu de ressources (seulement 90Mo de RAM et moins de 0,5% de CPU), les librairies et les modèles utilisés par HarfangLab sont optimisés : le réseau de neurones destiné à la détection de malwares pèse au maximum 5MB, dépendances incluses !
Cette prouesse signifie que la solution peut tourner même sur des appareils peu puissants.
La légèreté des modèles fait aussi qu’ils peuvent être intégrés directement dans l’agent pour une réactivité optimale. C'est ce qui permet de détecter les menaces au plus tôt, sans qu’elles n’aient besoin d’être envoyées dans un Cloud.
En somme, la légèreté des modèles IA permet de les intégrer dans l’agent à la fois pour que les machines restent performantes, mais aussi pour avoir une capacité de détection la plus en amont possible.
Comme nous l’avons souligné plus tôt, les attaquants ne cessent d’innover pour se frayer un chemin dans un SI et voler des données, demander une rançon... Alors, comment faire, à l’aide de l’Intelligence Artificielle, pour qu’un SI bénéficie toujours d’une protection adaptée au contexte cyber d’une organisation ?
Mise en production automatisée
pour un déploiement régulier et rapide des modèles réentraînés, afin de suivre l’évolution des menaces.
Face à une menace qui s'adapte en permanence, les modèles d’IA doivent être réentraînés régulièrement et mis à jour le plus vite possible.
Dans cette optique, grâce à l’automatisation de la mise en production des modèles d’apprentissage, le niveau de protection des terminaux est assuré en continu et suit l’évolution du paysage de la menace cyber.
Pour les utilisateurs, cette mise à jour des agents est transparente, elle se fait sans redémarrage du poste. En effet, le mode de redéploiement de nos modèles d’IA est identique à celui adopté pour la mise à jour des agents : simple et sans friction.
Le processus est aussi vite dit que fait : remplacement du binaire et relance du service, le tout en quelques secondes !
Enfin, sachant que tous les OS ne sont pas susceptibles d’être concernés par les mêmes menaces, comment cette diversité des environnements est-elle prise en compte ?
Mutualisation des développements entre systèmes d’exploitation
Deux familles d’algorithmes sont utilisées dans le moteur IA de l’EDR d’HarfangLab, réentraînés régulièrement, comme nous l’avons vu. Ces algorithmes distinguent les fichiers malveillants de la façon suivante :
- un premier repose sur l’extraction de variables du fichier exécutable ;
- un autre prend le fichier dans son ensemble (à quelques transformations près).
Les algorithmes sont développés en tenant compte de tous les OS, et sont prévus pour être portés de l'un à l'autre. Généralement, les algorithmes sont développés initialement pour Windows, et leur portage est facilité par nos pratiques de développement en Rust.
Ainsi, miniaturisation, mise en production automatisée et mutualisation des développements favorisent des temps de mise en production courts.
C’est aussi grâce à cette démarche que les utilisateurs de l’EDR d’HarfangLab peuvent profiter d’innovations et de nouveautés en continu !
En effet, le passage rapide en production permet de se confronter rapidement à la réalité, et d’itérer pour améliorer les capacités de détection et de remédiation de la solution.
Ces algorithmes d'IA ont fait leurs preuves pour la détection de fichiers et processus malveillants, notamment pour des malwares avancés comme Neuron ou Carbon, ou encore des outils classiques d’attaquants comme Mimikatz et ses variantes qui peuvent chercher à s’obfusquer...
L'IA appliquée à l'EDR offre par ailleurs des perspectives pour de la détection en dehors de l’agent, par exemple en backend, comme le fait l’un des algorithmes proposé depuis la version 3.1 de HarfangLab, et qui permet d’identifier les scripts PowerShell malveillants.
A propos de détection, si un incident de cybersécurité survient,
savez-vous qui doit faire quoi en cellule de crise ?