Note à l'attention de nos clients et partenaires au Moyen-Orient
Plus d'informations
L'intelligence artificielle et l'apprentissage automatique (IA/ML) façonnent tous les aspects de notre vie plus rapidement que nous ne pouvons l'assimiler. La cybersécurité ne fait pas exception ; en fait, c'est un brillant exemple de la façon dont l'IA/ML peut être exploitée à la fois pour l'attaque et la défense - et être elle-même une cible attrayante.
Grâce à la réduction des barrières à l'entrée pour les cybercriminels en puissance, les cyberattaques basées sur l'IA/ML se multiplient, notamment le phishing, les deepfakes et les dénis de service distribués (DDoS). Les logiciels malveillants polymorphes et les menaces persistantes avancées (APT) utilisent l'IA pour générer de nouvelles variantes de logiciels malveillants efficaces et échapper aux règles et aux signatures.
Du côté des défenseurs, la nécessité d'analyser et de corréler rapidement de vastes quantités de données provenant de dizaines de sources constitue un cas d'utilisation privilégié pour l'IA et la ML. Ces capacités surhumaines accélèrent presque tous les aspects de la cyberdéfense, y compris l'inventaire et le renseignement des actifs, l'analyse des comportements, la détection des anomalies et des menaces, la corrélation des événements, la hiérarchisation des risques et la réduction du bruit. Ensemble, elles ont le potentiel d'éliminer complètement le besoin d'analystes SOC de niveau 1 et d'autres postes subalternes.
La cybersécurité assistée par l'IA pour les environnements industriels exploite toutes ces capacités, sans doute à un degré plus élevé : il y a plus à protéger et les enjeux d'une attaque sont souvent plus élevés. Vous avez affaire à des systèmes de contrôle et à des processus physiques qui comportent des milliers de variables de processus configurables, toutes potentiellement exploitables. De plus, les composants existants ne sont pas sécurisés de par leur conception et les possibilités de correction sont limitées. Sans l'IA, il serait impossible d'évaluer le volume de données de communication réseau et de variables de processus dans un réseau industriel typique, et certainement pas assez rapidement pour prévenir les dommages en cas de détection d'une menace sérieuse.
Voici comment l'IA et l'apprentissage automatique sont mis à profit au sein de la Networks Nozomi Networks pour protéger les environnements industriels et les infrastructures critiques.
La surface d'attaque des environnements industriels est généralement constituée d'énormes volumes de communications réseau et de données variables de processus. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour identifier les menaces connues (telles que les CVE documentés), et seulement si les indicateurs sont facilement observables et rapidement identifiables comme une correspondance potentielle. Le seul moyen de détecter les menaces inconnues, y compris les journées zéro et les anomalies opérationnelles susceptibles de présenter un risque, est d'analyser rapidement les données collectées par les capteurs dans l'ensemble de l'environnement afin de discerner les écarts par rapport à la ligne de base.
Lorsqu'ils sont déployés pour la première fois dans votre environnement, les capteurs Nozomi Network fonctionnent en mode d'apprentissage pour découvrir automatiquement votre réseau industriel en temps réel, y compris ses composants, ses connexions et sa topologie. En surveillant les communications des appareils jusqu'aux variables du processus, la plateforme crée une représentation interne précise de chaque processus physique dans le réseau, en identifiant chaque phase et la corrélation entre les appareils du réseau, les variables du processus et les phases. À partir de ces représentations, elle crée des profils détaillés du comportement attendu de chaque appareil à chaque étape du processus.
Jusqu’à présent, ce processus d’apprentissage consiste uniquement en une analyse de référence comportementale fondée sur des observations. LaNetworks Nozomi Networks utilise également l’apprentissage adaptatif, qui intègre asset intelligence leur comportement connu (voir ci-dessous), afin d’enrichir les profils et de réduire les faux positifs. Cette combinaison de détection comportementale, enrichie par les informations sur le comportement connu des ressources, est essentielle pour détecter en particulier les exploits de type « zero-day ».
La plateforme utilise également l'apprentissage dynamique pour effectuer une analyse statistique du contrôle des processus du réseau et écarter les comportements s'écartant de plus d'un écart-type, qui ne doivent pas être considérés comme normaux. Les paramètres d'apprentissage peuvent être configurés manuellement afin de ne générer que les alertes dont vous avez réellement besoin pour protéger votre environnement et éviter toute surcharge.
Une fois les lignes de base établies, la plateforme passe en mode actif, utilisant l'heuristique et l'analyse comportementale pour surveiller en permanence l'environnement. Il en résulte une détection rapide des anomalies, notamment des cyberattaques, des cyberincidents et des irrégularités des variables de processus critiques. Ces informations peuvent être utilisées pour prévenir, contenir ou atténuer les cybermenaces et les incidents de processus avant que des dommages importants ne se produisent.
Les alertes signalent aux analystes et aux opérateurs les événements et les activités suspects qui s'écartent des lignes de base établies, tout en filtrant les activités anormales bénignes inférieures aux seuils fixés. Par exemple, si un appareil dans un processus industriel commence à perdre 10 paquets au fil du temps, ce n'est pas grave, mais si le même processus commence à perdre des centaines de paquets, il y a lieu d'enquêter.
Les réseaux des infrastructures industrielles et critiques comptent généralement des milliers de OT provenant de centaines de fournisseurs, ainsi que IoT , qui assurent la surveillance et le contrôle des processus. La création d’un inventaire précis et à jour des IoT OT IoT , ainsi que leur suivi, accompagnés d’informations contextuelles importantes, sont essentiels pour maintenir la résilience cybernétique et opérationnelle, gérer les vulnérabilités et hiérarchiser les mesures d’atténuation. Cela ne peut se faire manuellement. Vous avez besoin d’une solution automatisée d’inventaire des actifs.
La plateforme de Nozomi Networks utilise une variété de capteurs de réseau, d'endpoint, à distance et sans fil pour découvrir automatiquement les actifs lorsqu'ils se connectent au réseau, en recueillant et en validant des attributs de contexte détaillés. Elle les surveille ensuite en permanence, à l'affût de changements suspects qui pourraient indiquer un cyberincident ou une anomalie de processus. Les profils d'appareils OT et IoT dérivés des capteurs sont encore enrichis d'informations détaillées supplémentaires sur les actifs provenant de notre service de Asset Intelligence afin d'obtenir un inventaire des actifs précis à près de 100 % et toujours à jour.
La base de données Nozomi Asset Intelligence exploite les données collectées auprès de millions d'appareils OT, IoT et IT pour déterminer quand générer des alertes sur un comportement anormal, réduisant ainsi le nombre d'alertes causées par un comportement anormal bénin en sachant quand "nouveau" ou "différent" ne représente pas un risque. Il utilise les attributs et les comportements visibles dans votre réseau, tels que les adresses MAC et les protocoles utilisés par vos équipements, et les compare aux comportements et aux performances des équipements connus dans la base de données. Lorsqu'une correspondance est trouvée, les attributs et les comportements de l'appareil connu sont ajoutés à votre profil d'appareil. Il en résulte une classification des actifs jusqu'à 50-70% plus précise, ce qui contribue à simplifier la gestion des vulnérabilités et à réduire les alertes faussement positives au sein de votre environnement.
Le taux d'épuisement des membres des équipes des centres d'opérations de sécurité (SOC) est notoirement élevé, en raison de la lourdeur de la charge de travail, du manque de personnel, de l'automatisation limitée et de la fatigue des alertes. La pénurie critique de professionnels qualifiés en cybersécurité, en particulier dans des spécialités comme la sécurité OT , serait désastreuse si l'IA et la ML n'étaient pas taillées sur mesure pour aider les équipes de sécurité à faire plus avec moins. Elles automatisent les tâches fastidieuses d'examen, de corrélation et de hiérarchisation des données relatives au réseau, aux actifs et aux alertes, afin de fournir des informations utiles sur les menaces réelles et sur la manière de les traiter. Les activités qui prenaient auparavant une semaine à une équipe peuvent désormais être prises en charge par une seule personne en une journée, quand elles ne sont pas entièrement transférées à l'IA/ML.
Vantage IQ dans le moteur IA/ML cloudNetworks Nozomi Networks. Ses réseaux neuronaux profonds identifient les schémas d'activité dans les données réseau et présentent des informations classées par ordre de priorité, basées sur des alertes corrélées instantanément, accompagnées d'informations sur les causes profondes pour une investigation rationalisée et une correction efficace.
IQ Vantage IQ analyse en permanence votre environnement, en établissant des corrélations entre les risques et les conditions afin de mettre en évidence les éléments que vous devriez probablement examiner, mais pour lesquels vous n’avez peut-être pas le temps de le faire. Il présente ces informations sous la forme d’une liste actualisée en permanence, classée par ordre d’importance, sans que quiconque ait à rédiger de requête. Lorsque ces informations sont traitées régulièrement, cela se traduit par une réduction du bruit dans votre environnement, provenant de modifications de configuration et d’autres éléments faciles à négliger — mais aussi faciles à corriger. Pour les nouveaux analystes en particulier, c'est comme avoir à ses côtés un expertIoT de haut niveau qui vous offre un contexte clair et des conseils chaque fois que vous en avez besoin. Pour les nouveaux analystes en particulier, c'est comme avoir à ses côtés un expertIoT de haut niveau qui vous offre un contexte clair et des conseils chaque fois que vous en avez besoin.
