Préparez-vous à une IA armée qui s’adapte en temps réel à vos défenses, déclare le prof

  • FrançaisFrançais


  • CGV Une IA militarisée qui va au-delà des deepfakes Zelenskyy et empêche certains chercheurs en sécurité et data scientists de dormir la nuit.

    “Nous devrions nous attendre à ce que l’IA soit militarisée et utilisée pour lancer des attaques afin que l’attaque à laquelle vous êtes confronté essaie elle-même de s’adapter en temps réel aux contre-mesures que vous prenez”, a déclaré Thomas Dietterich, professeur émérite à l’Oregon State University, lors d’une table ronde cette semaine au GTC de Nvidia.

    “C’est assez effrayant”, a-t-il poursuivi. “Nous devons commencer à nous préparer à ce genre d’attaques.”

    Nous devons commencer à nous préparer à ce genre d’attaques

    Point intéressant, mais quand ces types d’attaques – de l’intrusion du réseau à la désinformation virale – commenceront, nous ne sommes pas sûrs. À l’heure actuelle, les mécréants s’entendent bien avec les bons e-mails de phishing à l’ancienne, les faux installateurs, les informations d’identification volées ou achetées, l’ingénierie sociale et les fausses publications en ligne.

    Le scientifique en chef de Sophos, Joshua Saxe, a quant à lui pointé du doigt les faux comptes de médias sociaux créés par le gouvernement russe et utilisés pour diffuser de la propagande anti-ukrainienne depuis le début de la guerre. “Cela semble très convaincant”, a-t-il déclaré. “Et c’est presque gratuit.”

    Bien qu’il s’agisse d’un aperçu à court terme de l’IA militarisée, l’ajout de modèles linguistiques à l’arsenal d’apprentissage automatique et le développement de meilleurs robots de médias sociaux alimenteront probablement le chaos que les États-nations et les cybercriminels peuvent créer, a ajouté Saxe. “La désinformation comme celle-là est un gros problème.”

    Cependant, les défenseurs peuvent également utiliser la science des données et l’IA pour empêcher les intrus d’accéder à leurs réseaux. “Il existe des applications matures de l’IA dans la cybersécurité, et elles se concentrent toutes sur l’augmentation des approches de détection traditionnelles en cybersécurité avec des modèles d’apprentissage automatique”, a déclaré Saxe.

    La plupart des fournisseurs de sécurité le font déjà et augmentent la détection basée sur les signatures avec des modèles d’apprentissage automatique, a-t-il ajouté. “Qu’il s’agisse de détecter des e-mails de phishing et de détecter des programmes binaires malveillants ou de détecter des scripts malveillants. Ce sont des applications matures. Nous savons comment créer ces modèles.”

    Il y a encore de la place pour les améliorer, mais c’est plus un défi d’ingénierie, a-t-il ajouté.

    Ensuite, il y a les applications d’intelligence artificielle les plus “de pointe” que Sophos et d’autres sociétés de sécurité développent. Saxe a déclaré que son entreprise travaillait sur des boucles de rétroaction entre ses propres analystes de sécurité qui défendent les réseaux et les modèles d’apprentissage automatique de Sophos et de ses clients.

    Boucles de rétroaction

    “Ces modèles sont comme des systèmes de recommandation”, a-t-il expliqué. “Ils recommandent des alertes aux analystes, ils hiérarchisent les alertes, ce genre de choses. Il y a un tas de domaines qui testent les limites de ce qui est possible.”

    Mais ne coupez pas les analystes de cette boucle de rétroaction, a ajouté Dietterich.

    L’apprentissage supervisé traditionnel peut apprendre aux machines à quoi ressemble un e-mail de phishing par rapport à un e-mail normal et “sûr” afin qu’elles puissent repérer l’e-mail malveillant. Et tandis que les algorithmes d’apprentissage automatique peuvent prendre en charge la détection de nouveautés – ceux-ci peuvent être utilisés pour détecter les jours zéro ou d’autres nouvelles attaques – “un problème classique est les fausses alarmes”, a déclaré Dietterich.

    “Le taux de fausses alarmes peut être vraiment grave”, a-t-il poursuivi. “Après tout, vous recherchez peut-être une aiguille sur 10 000 meules de foin.”

    C’est là qu’un analyste entre en jeu. “Nous recommandons qu’un analyste examine ce processus, ou ce fichier, ou cette partie du journal, puis l’analyste peut nous faire part de ses commentaires et dire qu’il s’agit d’une fausse alerte, ou que c’est intéressant. Montrez-m’en plus. “

    En intégrant les commentaires des analystes, le taux de fausses alarmes passe généralement de 80 % ou 90 % à environ 10 %, a déclaré Dietterich. “C’est encore élevé, c’est toujours cher, mais ça devient utilisable.”

    Ces taux élevés de fausses alarmes soulignent l’importance d’apprendre aux machines à distinguer les comportements anormaux des comportements normaux.

    L’IA pour détecter les menaces internes

    Dietterich a travaillé sur quelques initiatives de la Defense Advanced Research Projects Agency (DARPA) concernant les menaces internes et la détection des menaces persistantes avancées dans les réseaux. La DARPA est l’agence du département américain de la Défense qui développe des technologies émergentes pour l’armée, et dans l’un de ces projets, l’équipe a surveillé 5 000 employés du gouvernement pour un comportement anormal.

    “Vous pourriez avoir un cas où 80% des employés visitent le même jour un site Web qu’ils n’avaient jamais visité auparavant”, a-t-il déclaré. “Il s’avère que c’est une exigence des RH qu’ils doivent aller le visiter – mais vous ne voulez pas transformer cela en une fausse alerte. Vous devez donc vraiment normaliser les employés les uns contre les autres.”

    Cependant, le comportement normal d’un administrateur système est différent du comportement normal d’un assistant de recherche. Cela nécessite donc d’identifier des “sous-communautés” au sein d’une organisation qui se comportent de manière similaire et de suivre les comportements de ces petits groupes au fil du temps.

    “En normalisant de cette manière, vous pouvez filtrer une grande partie des fausses alarmes et du bruit”, a ajouté Dietterich. cette personne est suspecte. Vous devez dire voici pourquoi et donner une sorte d’explication.”

    Et un autre conseil utile : ne laissez pas la détection basée sur l’IA aliéner la suite C.

    “L’un des risques liés à l’utilisation d’anomalies statistiques comme base pour tenter d’identifier les attaques est que si vous appartenez à une petite sous-population au sein d’une organisation plus grande, tout ce que vous ferez aura l’air bizarre par rapport à la majorité”, a déclaré Dietterich. Cela expose ces petites sous-populations au risque de devenir une source majeure de fausses alertes car “l’apprentissage automatique a tendance à pénaliser les personnes inhabituelles”.

    Dans les environnements d’entreprise, “les utilisateurs les plus rares sont la suite C”, a-t-il ajouté. “Et ils deviennent très mécontents si nous continuons à les couper parce que nous pensons qu’ils attaquent l’organisation à cause de fausses alarmes dans l’apprentissage automatique.” ®

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *