L'intelligence artificielle et l'apprentissage automatique (IA/ML) façonnent tous les aspects de notre vie plus rapidement que nous ne pouvons l'assimiler. La cybersécurité ne fait pas exception ; en fait, c'est un brillant exemple de la façon dont l'IA/ML peut être exploitée à la fois pour l'attaque et la défense - et être elle-même une cible attrayante.
Grâce à la réduction des barrières à l'entrée pour les cybercriminels en puissance, les cyberattaques basées sur l'IA/ML se multiplient, notamment le phishing, les deepfakes et les dénis de service distribués (DDoS). Les logiciels malveillants polymorphes et les menaces persistantes avancées (APT) utilisent l'IA pour générer de nouvelles variantes de logiciels malveillants efficaces et échapper aux règles et aux signatures.
Du côté des défenseurs, la nécessité d'analyser et de corréler rapidement de vastes quantités de données provenant de dizaines de sources constitue un cas d'utilisation privilégié pour l'IA et la ML. Ces capacités surhumaines accélèrent presque tous les aspects de la cyberdéfense, y compris l'inventaire et le renseignement des actifs, l'analyse des comportements, la détection des anomalies et des menaces, la corrélation des événements, la hiérarchisation des risques et la réduction du bruit. Ensemble, elles ont le potentiel d'éliminer complètement le besoin d'analystes SOC de niveau 1 et d'autres postes subalternes.
La cybersécurité assistée par l'IA pour les environnements industriels exploite toutes ces capacités, sans doute à un degré plus élevé : il y a plus à protéger et les enjeux d'une attaque sont souvent plus élevés. Vous avez affaire à des systèmes de contrôle et à des processus physiques qui comportent des milliers de variables de processus configurables, toutes potentiellement exploitables. De plus, les composants existants ne sont pas sécurisés de par leur conception et les possibilités de correction sont limitées. Sans l'IA, il serait impossible d'évaluer le volume de données de communication réseau et de variables de processus dans un réseau industriel typique, et certainement pas assez rapidement pour prévenir les dommages en cas de détection d'une menace sérieuse.
Voici comment l'IA et la ML sont exploitées dans la plateforme de Nozomi Networks pour protéger les environnements industriels et les infrastructures critiques.
La surface d'attaque des environnements industriels est généralement constituée d'énormes volumes de communications réseau et de données variables de processus. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour identifier les menaces connues (telles que les CVE documentés), et seulement si les indicateurs sont facilement observables et rapidement identifiables comme une correspondance potentielle. Le seul moyen de détecter les menaces inconnues, y compris les journées zéro et les anomalies opérationnelles susceptibles de présenter un risque, est d'analyser rapidement les données collectées par les capteurs dans l'ensemble de l'environnement afin de discerner les écarts par rapport à la ligne de base.
Lorsqu'ils sont déployés pour la première fois dans votre environnement, les capteurs Nozomi Network fonctionnent en mode d'apprentissage pour découvrir automatiquement votre réseau industriel en temps réel, y compris ses composants, ses connexions et sa topologie. En surveillant les communications des appareils jusqu'aux variables du processus, la plateforme crée une représentation interne précise de chaque processus physique dans le réseau, en identifiant chaque phase et la corrélation entre les appareils du réseau, les variables du processus et les phases. À partir de ces représentations, elle crée des profils détaillés du comportement attendu de chaque appareil à chaque étape du processus.
Jusqu'à présent, ce processus d'apprentissage est purement comportemental et basé sur des observations. La plateforme de Nozomi Networks utilise également l'apprentissage adaptatif, qui ajoute des asset intelligence décrivant leur comportement connu (voir ci-dessous), afin d'enrichir les profils et de réduire les faux positifs. Cette combinaison de détection basée sur le comportement et informée par le comportement connu de l'actif est essentielle pour détecter les exploits de type "zero-day" en particulier.
La plateforme utilise également l'apprentissage dynamique pour effectuer une analyse de contrôle du processus statistique du réseau et écarter les comportements dépassant un écart-type, qui ne devraient pas être considérés comme normaux. Les paramètres d'apprentissage peuvent être configurés manuellement pour ne générer que les alertes dont vous avez réellement besoin pour protéger votre environnement et éviter les surcharges.
Une fois les lignes de base établies, la plateforme passe en mode actif, utilisant l'heuristique et l'analyse comportementale pour surveiller en permanence l'environnement. Il en résulte une détection rapide des anomalies, notamment des cyberattaques, des cyberincidents et des irrégularités des variables de processus critiques. Ces informations peuvent être utilisées pour prévenir, contenir ou atténuer les cybermenaces et les incidents de processus avant que des dommages importants ne se produisent.
Les alertes signalent aux analystes et aux opérateurs les événements et les activités suspects qui s'écartent des lignes de base établies, tout en filtrant les activités anormales bénignes inférieures aux seuils fixés. Par exemple, si un appareil dans un processus industriel commence à perdre 10 paquets au fil du temps, ce n'est pas grave, mais si le même processus commence à perdre des centaines de paquets, il y a lieu d'enquêter.
Les réseaux industriels et d'infrastructures critiques contiennent généralement des milliers d'appareils OT provenant de centaines de fournisseurs, ainsi que des appareils IoT , qui surveillent et contrôlent les processus. Créer un inventaire précis et actualisé des actifs OT et IoT et en assurer le suivi, ainsi que des informations contextuelles importantes, est fondamental pour maintenir la résilience cybernétique et opérationnelle, gérer les vulnérabilités et hiérarchiser les mesures d'atténuation. Cela ne peut pas être fait manuellement. Vous avez besoin d'une solution automatisée de gestion des actifs.
La plateforme de Nozomi Networks utilise une variété de capteurs de réseau, d'endpoint, à distance et sans fil pour découvrir automatiquement les actifs lorsqu'ils se connectent au réseau, en recueillant et en validant des attributs de contexte détaillés. Elle les surveille ensuite en permanence, à l'affût de changements suspects qui pourraient indiquer un cyberincident ou une anomalie de processus. Les profils d'appareils OT et IoT dérivés des capteurs sont encore enrichis d'informations détaillées supplémentaires sur les actifs provenant de notre service de Asset Intelligence afin d'obtenir un inventaire des actifs précis à près de 100 % et toujours à jour.
La base de données Nozomi Asset Intelligence exploite les données collectées auprès de millions d'appareils OT, IoT et IT pour déterminer quand générer des alertes sur un comportement anormal, réduisant ainsi le nombre d'alertes causées par un comportement anormal bénin en sachant quand "nouveau" ou "différent" ne représente pas un risque. Il utilise les attributs et les comportements visibles dans votre réseau, tels que les adresses MAC et les protocoles utilisés par vos équipements, et les compare aux comportements et aux performances des équipements connus dans la base de données. Lorsqu'une correspondance est trouvée, les attributs et les comportements de l'appareil connu sont ajoutés à votre profil d'appareil. Il en résulte une classification des actifs jusqu'à 50-70% plus précise, ce qui contribue à simplifier la gestion des vulnérabilités et à réduire les alertes faussement positives au sein de votre environnement.
Le taux d'épuisement des membres des équipes des centres d'opérations de sécurité (SOC) est notoirement élevé, en raison de la lourdeur de la charge de travail, du manque de personnel, de l'automatisation limitée et de la fatigue des alertes. La pénurie critique de professionnels qualifiés en cybersécurité, en particulier dans des spécialités comme la sécurité OT , serait désastreuse si l'IA et la ML n'étaient pas taillées sur mesure pour aider les équipes de sécurité à faire plus avec moins. Elles automatisent les tâches fastidieuses d'examen, de corrélation et de hiérarchisation des données relatives au réseau, aux actifs et aux alertes, afin de fournir des informations utiles sur les menaces réelles et sur la manière de les traiter. Les activités qui prenaient auparavant une semaine à une équipe peuvent désormais être prises en charge par une seule personne en une journée, quand elles ne sont pas entièrement transférées à l'IA/ML.
Vantage IQ dans le moteur AI/ML de Nozomi Networks cloud. Ses réseaux neuronaux profonds identifient les modèles d'activité dans les données du réseau et présentent des informations prioritaires basées sur des alertes instantanément corrélées, soutenues par des informations sur les causes profondes pour une investigation rationalisée et une remédiation efficace.
Le moteur de Vantage IQ analyse en permanence votre environnement, en corrélant les risques et les conditions pour mettre en évidence les éléments que vous devriez probablement examiner, mais pour lesquels vous n'avez peut-être pas le temps de le faire. Il présente ces informations dans une liste constamment actualisée, classée par ordre d'importance, sans que personne n'ait à rédiger de requête. Lorsque ces informations sont traitées régulièrement, il en résulte moins de bruit dans votre environnement provenant des changements de configuration et d'autres éléments qu'il est facile d'ignorer, mais aussi de réparer.
L'intelligence artificielle et l'apprentissage automatique (IA/ML) façonnent tous les aspects de notre vie plus rapidement que nous ne pouvons l'assimiler. La cybersécurité ne fait pas exception ; en fait, c'est un brillant exemple de la façon dont l'IA/ML peut être exploitée à la fois pour l'attaque et la défense - et être elle-même une cible attrayante.
Grâce à la réduction des barrières à l'entrée pour les cybercriminels en puissance, les cyberattaques basées sur l'IA/ML se multiplient, notamment le phishing, les deepfakes et les dénis de service distribués (DDoS). Les logiciels malveillants polymorphes et les menaces persistantes avancées (APT) utilisent l'IA pour générer de nouvelles variantes de logiciels malveillants efficaces et échapper aux règles et aux signatures.
Du côté des défenseurs, la nécessité d'analyser et de corréler rapidement de vastes quantités de données provenant de dizaines de sources constitue un cas d'utilisation privilégié pour l'IA et la ML. Ces capacités surhumaines accélèrent presque tous les aspects de la cyberdéfense, y compris l'inventaire et le renseignement des actifs, l'analyse des comportements, la détection des anomalies et des menaces, la corrélation des événements, la hiérarchisation des risques et la réduction du bruit. Ensemble, elles ont le potentiel d'éliminer complètement le besoin d'analystes SOC de niveau 1 et d'autres postes subalternes.
La cybersécurité assistée par l'IA pour les environnements industriels exploite toutes ces capacités, sans doute à un degré plus élevé : il y a plus à protéger et les enjeux d'une attaque sont souvent plus élevés. Vous avez affaire à des systèmes de contrôle et à des processus physiques qui comportent des milliers de variables de processus configurables, toutes potentiellement exploitables. De plus, les composants existants ne sont pas sécurisés de par leur conception et les possibilités de correction sont limitées. Sans l'IA, il serait impossible d'évaluer le volume de données de communication réseau et de variables de processus dans un réseau industriel typique, et certainement pas assez rapidement pour prévenir les dommages en cas de détection d'une menace sérieuse.
Voici comment l'IA et la ML sont exploitées dans la plateforme de Nozomi Networks pour protéger les environnements industriels et les infrastructures critiques.
La surface d'attaque des environnements industriels est généralement constituée d'énormes volumes de communications réseau et de données variables de processus. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour identifier les menaces connues (telles que les CVE documentés), et seulement si les indicateurs sont facilement observables et rapidement identifiables comme une correspondance potentielle. Le seul moyen de détecter les menaces inconnues, y compris les journées zéro et les anomalies opérationnelles susceptibles de présenter un risque, est d'analyser rapidement les données collectées par les capteurs dans l'ensemble de l'environnement afin de discerner les écarts par rapport à la ligne de base.
Lorsqu'ils sont déployés pour la première fois dans votre environnement, les capteurs Nozomi Network fonctionnent en mode d'apprentissage pour découvrir automatiquement votre réseau industriel en temps réel, y compris ses composants, ses connexions et sa topologie. En surveillant les communications des appareils jusqu'aux variables du processus, la plateforme crée une représentation interne précise de chaque processus physique dans le réseau, en identifiant chaque phase et la corrélation entre les appareils du réseau, les variables du processus et les phases. À partir de ces représentations, elle crée des profils détaillés du comportement attendu de chaque appareil à chaque étape du processus.
Jusqu'à présent, ce processus d'apprentissage est purement comportemental et basé sur des observations. La plateforme de Nozomi Networks utilise également l'apprentissage adaptatif, qui ajoute des asset intelligence décrivant leur comportement connu (voir ci-dessous), afin d'enrichir les profils et de réduire les faux positifs. Cette combinaison de détection basée sur le comportement et informée par le comportement connu de l'actif est essentielle pour détecter les exploits de type "zero-day" en particulier.
La plateforme utilise également l'apprentissage dynamique pour effectuer une analyse de contrôle du processus statistique du réseau et écarter les comportements dépassant un écart-type, qui ne devraient pas être considérés comme normaux. Les paramètres d'apprentissage peuvent être configurés manuellement pour ne générer que les alertes dont vous avez réellement besoin pour protéger votre environnement et éviter les surcharges.
Une fois les lignes de base établies, la plateforme passe en mode actif, utilisant l'heuristique et l'analyse comportementale pour surveiller en permanence l'environnement. Il en résulte une détection rapide des anomalies, notamment des cyberattaques, des cyberincidents et des irrégularités des variables de processus critiques. Ces informations peuvent être utilisées pour prévenir, contenir ou atténuer les cybermenaces et les incidents de processus avant que des dommages importants ne se produisent.
Les alertes signalent aux analystes et aux opérateurs les événements et les activités suspects qui s'écartent des lignes de base établies, tout en filtrant les activités anormales bénignes inférieures aux seuils fixés. Par exemple, si un appareil dans un processus industriel commence à perdre 10 paquets au fil du temps, ce n'est pas grave, mais si le même processus commence à perdre des centaines de paquets, il y a lieu d'enquêter.
Les réseaux industriels et d'infrastructures critiques contiennent généralement des milliers d'appareils OT provenant de centaines de fournisseurs, ainsi que des appareils IoT , qui surveillent et contrôlent les processus. Créer un inventaire précis et actualisé des actifs OT et IoT et en assurer le suivi, ainsi que des informations contextuelles importantes, est fondamental pour maintenir la résilience cybernétique et opérationnelle, gérer les vulnérabilités et hiérarchiser les mesures d'atténuation. Cela ne peut pas être fait manuellement. Vous avez besoin d'une solution automatisée de gestion des actifs.
La plateforme de Nozomi Networks utilise une variété de capteurs de réseau, d'endpoint, à distance et sans fil pour découvrir automatiquement les actifs lorsqu'ils se connectent au réseau, en recueillant et en validant des attributs de contexte détaillés. Elle les surveille ensuite en permanence, à l'affût de changements suspects qui pourraient indiquer un cyberincident ou une anomalie de processus. Les profils d'appareils OT et IoT dérivés des capteurs sont encore enrichis d'informations détaillées supplémentaires sur les actifs provenant de notre service de Asset Intelligence afin d'obtenir un inventaire des actifs précis à près de 100 % et toujours à jour.
La base de données Nozomi Asset Intelligence exploite les données collectées auprès de millions d'appareils OT, IoT et IT pour déterminer quand générer des alertes sur un comportement anormal, réduisant ainsi le nombre d'alertes causées par un comportement anormal bénin en sachant quand "nouveau" ou "différent" ne représente pas un risque. Il utilise les attributs et les comportements visibles dans votre réseau, tels que les adresses MAC et les protocoles utilisés par vos équipements, et les compare aux comportements et aux performances des équipements connus dans la base de données. Lorsqu'une correspondance est trouvée, les attributs et les comportements de l'appareil connu sont ajoutés à votre profil d'appareil. Il en résulte une classification des actifs jusqu'à 50-70% plus précise, ce qui contribue à simplifier la gestion des vulnérabilités et à réduire les alertes faussement positives au sein de votre environnement.
Le taux d'épuisement des membres des équipes des centres d'opérations de sécurité (SOC) est notoirement élevé, en raison de la lourdeur de la charge de travail, du manque de personnel, de l'automatisation limitée et de la fatigue des alertes. La pénurie critique de professionnels qualifiés en cybersécurité, en particulier dans des spécialités comme la sécurité OT , serait désastreuse si l'IA et la ML n'étaient pas taillées sur mesure pour aider les équipes de sécurité à faire plus avec moins. Elles automatisent les tâches fastidieuses d'examen, de corrélation et de hiérarchisation des données relatives au réseau, aux actifs et aux alertes, afin de fournir des informations utiles sur les menaces réelles et sur la manière de les traiter. Les activités qui prenaient auparavant une semaine à une équipe peuvent désormais être prises en charge par une seule personne en une journée, quand elles ne sont pas entièrement transférées à l'IA/ML.
Vantage IQ dans le moteur AI/ML de Nozomi Networks cloud. Ses réseaux neuronaux profonds identifient les modèles d'activité dans les données du réseau et présentent des informations prioritaires basées sur des alertes instantanément corrélées, soutenues par des informations sur les causes profondes pour une investigation rationalisée et une remédiation efficace.
Le moteur de Vantage IQ analyse en permanence votre environnement, en corrélant les risques et les conditions pour mettre en évidence les éléments que vous devriez probablement examiner, mais pour lesquels vous n'avez peut-être pas le temps de le faire. Il présente ces informations dans une liste constamment actualisée, classée par ordre d'importance, sans que personne n'ait à rédiger de requête. Lorsque ces informations sont traitées régulièrement, il en résulte moins de bruit dans votre environnement provenant des changements de configuration et d'autres éléments qu'il est facile d'ignorer, mais aussi de réparer.