Top 5 des produits d’intelligence artificielle les plus innovants en cybersécurité
Notre équipe en charge de l’innovation, l’iSquad[1], était au FIC (Forum International de la Cybersécurité) du 22 au 23 janvier. Nous y avons rencontré de nombreuses startups et entreprises. Certaines ont retenus notre attention pour leurs solutions d’intelligence artificielle. En effet, l’IA se développe de plus en plus dans le secteur de la cybersécurité. Voici notre top 5 des produits d’IA les plus innovants présentés au FIC 2019 :
- Baffin Bay Network (Suède)
- Cybereason (Israel)
- ArmadAI (Canada)
- Perception Point (Israel)
- Citalid (France)
Top 1: Baffin Bay Networks
Baffin Bay Networks est une entreprise suédoise qui offre à ses clients un service contre les attaques par déni de service (DDoS). La principale valeur ajoutée de cette startup provient de partenariats quelle a montée avec les principaux fournisseurs de service internet – FAI – et de son moteur de détection de menaces augmenté par intelligence artificielle.
Le concept
Les fournisseurs d’accès à internet possèdent des capteurs de Baffin Bay Network leur permettant d’obtenir un ensemble de métadonnées sur le trafic entrant sur leur réseau.
Ensuite, le moteur de détection de menaces classifie les données, en s’appuyant sur l’intelligence artificielle, pour déterminer les potentielles attaques en cours.
Aujourd’hui, le produit intègre 3 composants essentiels :
- un capteur de trafic réseau, installé chez les opérateurs permettant de récupérer des informations sur le trafic réseau mondiale. Ce capteur collecte les informations des DNS et des métadonnées sur les paquets de données ;
- un outil qui corrèle les évènements collectés et les mets en relation avec les latences observées sur les serveurs du fournisseur ou de ses clients ;
- un composant qui redirige automatiquement le trafic vers le fournisseur dont le réseau est le moins chargé.
Récemment, Baffin Bay Network a racheté une entreprise spécialisée en « threat intelligence » pour intégrer de nouvelles menaces à la solution existante.
Top 2: Cybereason
Cybereason est une solution de détection de menaces proposée par une entreprise israélienne basée à Tel Aviv, Boston et Tokyo.
Le concept
Cybereason est une solution de type Endpoint Detection and Response (EDR) à destination des SOC (Security Operation Center) qui a pour objectif de d’optimiser les actions réalisées par les équipes de niveau 1 et 2, en charge de gérer les tickets d’incidents et/ou de suivre les alertes de sécurité.
La solution se présente sous la forme d’un agent installé sur chaque serveur qui remonte des métriques à Cybereason. L’outil classifie ensuite et corrèle les évènements, sur la base de patterns détectés par un moteur d’intelligence artificielle.
Ce moteur est entraîné et mis à jour grâce à une équipe de R&D composée d’experts en sécurité offensive. Ces professionnels sont le plus souvent des ingénieurs réalisant fréquemment des tests d’intrusion pour des clients de Cybereason.
Pour stopper une attaque, le système créé de façon dynamique des règles permettant de bloquer les processus au sein même des serveurs. Ces règles sont construites pour détecter les comportements des malwares, généralement constatés lors de la kill chain, et non sur des signatures.
Lorsque la solution détecte une potentielle menace, Cybereason génère un graphe d’actions malveillantes potentielles permettant de réaliser la prochaine étape de l’attaque. Si celle-ci survient, la solution verrouille le système d’un point de vue réseau et tente de remédier les actions précédentes exécutées par le programme.
C’est seulement à ce moment que l’opérateur SOC rentre en jeu pour analyser les impacts, décider et remédier plus finement les dégâts causés par l’attaquant. Cette remédiation est d’autant plus facilitée que la solution fournie à l’opérateur l’ensemble de l’attaque constatée et des éléments de contexte sur les machines impactées (applications, middleware, configuration réseau) permettant une prise de décision efficace.
Enfin, à la suite d’une attaque, les opérateurs peuvent décider de déverrouiller le système ou de le laisser en quarantaine. Il est également possible pour les opérateurs d’enregistrer le résultat de l’attaque et récupérer des traces pour des investigations plus poussées.
Selon l’implémentation décidée par le client, les détails de l’attaque peuvent être fournis à Cybereason afin d’affiner le moteur de détection des menaces.
Top 3: ArmadAI
ArmadAI est une solution d’IAM proposé par une entreprise canadienne, développée par un expert en gestion des référentiels d’identités. L’idée est que les solutions d’IAM doivent utiliser les éléments permettant le filtrage le plus fin, les ACL, tout en assurant une gestion fine des utilisateurs.
Fort de ce constat, la solution ArmadAI a été conçue avec de l’intelligence artificielle permettant de définir, pour chaque utilisateur et chaque application, un ensemble de règles IAM.
L’Intelligence Artificielle au sein d’ArmadAI décide quelle ACL doit être appliquée à chaque utilisateur basé sur ses activités et sur les informations provenant des ressources humaines.
Le concept
La solution détecte et évalue la pertinence d’une structure IAM déployée. Elle fournit ensuite un ensemble de données complémentaires à récolter pour pouvoir affiner le moteur de règles afin de définir le meilleur modèle pour l’organisation cible.
La finalité de la solution est de passer d’une solution en modèle RBAC (Role-Based Access Control) existant à un modèle ACL dynamique, piloté par l’IA.
ArmadAI ne peut pas fonctionner sans une organisation IAM préalablement définie et n’a pas pour but de changer l’organisation en place. Aujourd’hui, la solution est également capable de fournir des rapports sur les droits excessifs associés à des personnes, la présence de mauvaises pratiques de ségrégation des tâches et les duplications de rôles/d’accès au sein d’une organisation.
Top 4: Perception Point
PerceptionPoint est une solution d’analyse d’emails et de fichiers avant qu’ils n’entrent dans le SI d’une organisation. PerceptionPoint a été créée par la société éponyme, une entreprise israélienne construite autour du module central de la solution, un moteur IA qui définit le fonctionnement normal d’un logiciel et identifie les déviations.
Le concept
PerceptionPoint a construit un moteur définissant le fonctionnement normal d’un logiciel. Ce moteur créé ainsi un graphe représentant le fonctionnement d’une version d’un logiciel. Ainsi, chaque partie du code exécutable du logiciel est identifié au sein d’une représentation statique.
Ensuite, l’ensemble des logiciels analysés définissent une base de données sous format graphe. Lorsqu’un fichier utilise un des logiciels analysés, ce fichier est analysé par la solution et produit un graphe d’exécution. Ce graphe représente l’ensemble du code logiciel exécuté, c’est-à-dire l’ensemble des actions que ce fichier est capable de réaliser. Si le graphique est un sous-ensemble du graphique du logiciel utilisé, alors c’est que le fichier utilise les fonctionnalités autorisées et packagés au sein du logiciel. Si ce n’est pas le cas, le fichier sera considéré comme utilisant d’autres fonctions logiciel, en dehors des règles définies, et sera bloqué.
Top 5: Citalid
Nous finissons ce top 5 avec une startup française : Citalid, et sa solution qui apporte des informations géopolitiques contextualisées aux professionnels de la cybersécurité.
Le concept
Citalid est une startup qui a mis au point une solution de threat intelligence qui collecte des données de différentes sources, notamment des CERT des gouvernements, des entreprises, des flux de données géopolitiques et des médias.
Citalid corrèle ensuite l’ensemble des événements collectés pour identifier les cyberattaques potentielles pouvant viser leurs clients. Cette analyse se base sur un profil défini pour l’entreprise. Par exemple, une entreprise bancaire recevra des alertes lorsque d’autres entreprises du domaine bancaire ont été ciblées par un malware.
Ainsi, les entreprises peuvent adapter leurs stratégies pour répondre aux menaces du moment, et prioriser leurs actions de surveillance. Ce résultat d’analyse est basé sur des informations non-techniques et reflète des activités réalisées par des activistes, ainsi qu’une vision géopolitique de ces attaques.
Ecrit par Maxime Payraudeau, avec l’aide de Quentin Recoursé.
[1] L’iSquad est notre équipe interne en charge de l’innovation. Composée de consultants passionnés par les technologies de demain et la cybersécurité, elle a pour objectif d’étudier les technologies avancées en sécurité informatique afin de les expliquer à nos consultants et nos clients.