Lancement

L'IA protège des logiciels malveillants

L'IA protège des logiciels malveillants

Pour les lecteurs pressés

  • Dans la protection moderne des terminaux, l'apprentissage automatique détecte les modèles de comportement suspects qui indiquent un abus ou un logiciel malveillant.
  • Cette protection dynamique contre les nouveaux dangers complète la protection statique qui identifie les logiciels malveillants à l'aide de leurs empreintes digitales connues (signatures).
  • L'apprentissage automatique est également utilisé pour observer en permanence le comportement des utilisateurs et identifier les attaques qui en découlent, puis en corriger la cause et les effets.
  • Une protection efficace des terminaux requiert un logiciel qui s'adapte automatiquement, qui identifie de manière fiable les nouvelles menaces et qui déclenche les mesures appropriées.

Conseil pour essayer

Si vous souhaitez obtenir une excellente introduction au thème des modèles de langage (LLM), qui sont utilisés entre autres pour l'analyse de logiciels malveillants dans les scripts PowerShell, vous devriez regarder la vidéo d'une heure d'Andrej Karpathy. Presque tous les aspects de l'IA générative et du LLM y sont traités et illustrés par des exemples concrets. Le thème de la sécurité n'est pas non plus négligé. Un "must read" pour tout passionné de technique AI.

La dynamique du ML

Les scanners de virus et les programmes de détection de logiciels malveillants classiques fonctionnent avec ce que l'on appelle la reconnaissance de signatures : Le scanner de virus tente d'associer des séquences d'octets connues à un virus afin d'isoler ensuite ce fichier infecté.

Cela présente toutefois l'inconvénient que le parasite doit être connu du scanner. De plus, des développeurs de logiciels malveillants ingénieux peuvent toujours modifier légèrement la signature, de sorte que le scanner ne fonctionne pas - un jeu du chat et de la souris.

La protection moderne des terminaux repose donc sur des mécanismes d'intelligence artificielle, plus précisément sur l'apprentissage automatique, dans le cadre duquel le logiciel de protection observe toutes les opérations du programme et en déduit automatiquement des modèles afin de détecter les anomalies. Ces anomalies peuvent être des points d'accès WLAN suspects, de nouveaux comptes d'utilisateurs avec des niveaux d'autorisation élevés, des tentatives d'abaissement des niveaux de sécurité sur le PC, des tentatives de transfert de données vers des adresses IP malveillantes ou des modèles suspects dans le trafic réseau.

"Behavioural ML" - également appelé UEBA pour user and entity behavior analytics - va dans le même sens en accordant une attention accrue au comportement de l'utilisateur, p. ex : Si un utilisateur tente soudainement d'ouvrir des fichiers auxquels il n'a pas accès.

Si un comportement suspect est ainsi détecté, le logiciel de protection déclenche une alarme.

La main protectrice

Si une menace ou même une attaque survient, l'apprentissage automatique est également utilisé. Par exemple, le logiciel leader de protection des terminaux CrowdStrike essaie non seulement de détecter les logiciels malveillants à un stade précoce, mais aussi d'identifier leur cause et de faire des propositions pour les éliminer.

En outre, des algorithmes d'IA sont utilisés pour détecter les signatures modifiées des logiciels malveillants qui passeraient sinon inaperçus. Même les logiciels malveillants qui n'ont pas de signature sont détectés en raison de leur comportement remarquable - par exemple lorsqu'ils tentent de contourner les mécanismes de sécurité.

Pour ne pas réinventer la roue, CrowdStrike s'appuie sur une multitude de sources qui sont combinées afin de continuer à entraîner et à affiner ses propres modèles ML. Car une protection efficace contre les logiciels malveillants est une lutte continue contre le "mal". Un arrêt conduit régulièrement à un problème et à la défaite dans ce "combat".

Exemple : Zero-day Exploit

Nous voulons illustrer le fonctionnement de l'IA chez CrowdStrike à l'aide d'un exemple. Pour ce faire, nous avons choisi les redoutables Zero-day Exploits. Il n'y a pas d'aide pour ces malveillances, même si elles ont été découvertes. Seule la suppression totale de la faille peut résoudre le problème. Nous enavons déjà parlé plus en détail sur . Comment CrowdStrike gère-t-il cette situation ?

  1. Un auteur de malware crée un nouveau malware et le modifie pour contourner la détection basée sur les signatures. L'auteur du malware publie ensuite le malware sur Internet, où ses victimes tombent dessus.
  2. Les scanners de logiciels malveillants basés sur les signatures ne sont pas en mesure de détecter les nouveaux logiciels malveillants, car ils n'ont pas la signature du logiciel malveillant dans leur base de données. Cependant, les modèles ML de CrowdStrike sont capables de reconnaître les nouveaux logiciels malveillants, car ils ont été formés sur un énorme ensemble de données de signatures de logiciels malveillants connus, y compris des signatures qui ont été modifiées pour contourner la détection traditionnelle basée sur les signatures. Ils ont en quelque sorte appris le comportement des programmeurs de logiciels malveillants pour masquer les signatures et s'en servent pour l'identification.
  3. En outre, l'analyse comportementale de CrowdStrike est capable de détecter les nouveaux logiciels malveillants en montrant leurs comportements suspects, tels que les tentatives d'accès à des données sensibles ou de désactivation des contrôles de sécurité.
  4. Enfin, les données sur les menaces de CrowdStrike permettent de détecter les nouveaux logiciels malveillants, car CrowdStrike collecte et analyse des données sur les menaces provenant d'un grand nombre de sources, notamment de ses propres clients, des forces de l'ordre et d'autres fournisseurs de sécurité. Ces données sur les menaces contiennent des informations sur les nouvelles variantes de logiciels malveillants et les techniques de contournement. CrowdStrike utilise ensuite ces informations pour mettre à jour ses modèles ML et ses règles de détection.

De cette manière, CrowdStrike utilise l'IA/ML en quelque sorte dans un ensemble de mesures et de sources afin de détecter les exploits du jour zéro de la manière la plus fiable possible, même s'ils sont nouveaux.

Exemple : PowerShell

Le très puissant PowerShell, très apprécié sous Windows, est également très utilisé par les pirates pour introduire des logiciels malveillants dans les entreprises. Dans ce cas, des modèles d'apprentissage en profondeur sont utilisés, qui analysent le code source de l'attaquant et le reconnaissent en conséquence.

  1. À l'aide de modèles d'apprentissage en profondeur, les sections de code les plus importantes sont automatiquement extraites des scripts PowerShell.
  2. L'IA analyse les sections de code extraites afin d'identifier les flux de code malveillants.
  3. L'IA compare la logique du code à une base de données de scripts PowerShell malveillants et bénins connus.
  4. Si l'IA détecte une logique de code malveillante, elle génère un avertissement.

Sans intelligence artificielle, il sera difficile d'écarter les dangers d'Internet. C'est pourquoi il est indispensable de comprendre le fonctionnement des logiciels de sécurité utilisés dans son entreprise.

Celui qui pose les bonnes questions a clairement l'avantage.

À propos de Business Automatica GmbH :

Business Automatica réduit les coûts de processus en automatisant les activités manuelles, améliore la qualité de l'échange de données dans des architectures de systèmes complexes et relie les systèmes sur site aux architectures modernes de cloud et SaaS. L'intelligence artificielle appliquée à l'entreprise en fait partie intégrante. En outre, Business Automatica propose des solutions d'automatisation axées sur la cybersécurité à partir du cloud.