Une collaboration homme-machine pour se défendre contre les cyberattaques

Être analyste de la cybersécurité dans une grande entreprise aujourd’hui, c’est un peu comme chercher une aiguille dans une botte de foin – si cette botte de foin se précipitait vers vous à la vitesse de la fibre optique.

Chaque jour, les employés et les clients génèrent une multitude de données qui établissent un ensemble de comportements normaux. Un attaquant va également générer des données en utilisant un certain nombre de techniques pour infiltrer le système ; l’objectif est de trouver cette « aiguille » et de l’arrêter avant qu’elle ne fasse des dégâts.

La nature lourde en données de cette tâche se prête bien aux prouesses de calcul de l’apprentissage machine, et un afflux de systèmes alimentés par l’IA a en effet inondé le marché de la cybersécurité au fil des ans. Mais de tels systèmes peuvent avoir leurs propres problèmes, à savoir un flux incessant de faux positifs qui peuvent les rendre plus difficiles à gérer que les analystes de sécurité.

Le démarrage du MIT, PatternEx, part de l’hypothèse que les algorithmes ne peuvent pas protéger un système par eux-mêmes. La société a développé une approche en boucle fermée dans laquelle des modèles d’apprentissage machine signalent les attaques possibles et des experts humains fournissent un retour d’information. Le retour d’information est ensuite incorporé dans les modèles, ce qui améliore leur capacité à ne signaler que les activités qui intéressent les analystes à l’avenir.

« La plupart des systèmes d’apprentissage machine dans le domaine de la cybersécurité ont fait de la détection d’anomalies », explique Kalyan Veeramachaneni, co-fondateur de PatternEx et chercheur principal au MIT. « Le problème, c’est qu’il faut d’abord avoir une base de référence (d’activité normale). De plus, le modèle est généralement non supervisé, ce qui fait qu’il affiche beaucoup d’alertes et que les gens finissent par le fermer. La grande différence est que PatternEx permet à l’analyste d’informer le système et qu’il utilise ensuite ce retour d’information pour filtrer les faux positifs ».

Il en résulte une augmentation de la productivité des analystes. Par rapport à un logiciel générique de détection des anomalies, la plateforme d’analyse virtuelle de PatternEx a permis d’identifier dix fois plus de menaces grâce au même nombre d’alertes quotidiennes, et son avantage a persisté même lorsque le système générique donnait aux analystes cinq fois plus d’alertes par jour.

Déployé pour la première fois en 2016, le système de la société est aujourd’hui utilisé par les analystes de la sécurité de grandes entreprises dans divers secteurs, ainsi que par des sociétés qui proposent la cybersécurité en tant que service.

Fusionner les approches humaine et machine de la cybersécurité

Veeramachaneni est arrivée au MIT en 2009 en tant que post-doc et dirige maintenant un groupe de recherche au sein du Laboratoire des systèmes d’information et de décision. Son travail au MIT porte principalement sur la science des grandes données et l’apprentissage machine, mais il n’a pas réfléchi profondément à l’application de ces outils à la cybersécurité jusqu’à une séance de brainstorming avec les co-fondateurs de PatternEx, Costas Bassias, Uday Veeramachaneni et Vamsi Korrapati, en 2013.

Ignacio Arnaldo, qui a travaillé avec Veeramachaneni en tant que post-doc au MIT entre 2013 et 2015, a rejoint la société peu après. Veeramachaneni et Arnaldo savaient, depuis qu’ils construisaient des outils pour les chercheurs du MIT spécialisés dans l’apprentissage machine, qu’une solution réussie devait intégrer de manière transparente l’apprentissage machine à l’expertise humaine.

« Beaucoup des problèmes que les gens rencontrent avec l’apprentissage machine viennent du fait que la machine doit travailler côte à côte avec l’analyste », explique M. Veeramachaneni, qui fait remarquer que les attaques détectées doivent encore être présentées aux humains de manière compréhensible pour une enquête plus approfondie. « Elle ne peut pas tout faire toute seule. La plupart des systèmes, même pour quelque chose d’aussi simple que l’octroi d’un prêt, sont des systèmes d’augmentation, et non des systèmes d’apprentissage automatique qui ne font qu’éloigner les décisions des humains ».

Le premier partenariat de la société a été conclu avec un grand détaillant en ligne, ce qui a permis aux fondateurs de former leurs modèles à l’identification de comportements potentiellement malveillants en utilisant des données du monde réel. Un par un, ils ont formé leurs algorithmes pour signaler différents types d’attaques en utilisant des sources comme les journaux d’accès Wi-Fi, les journaux d’authentification et d’autres comportements des utilisateurs sur le réseau.

Les premiers modèles fonctionnaient mieux dans le commerce de détail, mais M. Veeramachaneni savait à quel point les entreprises d’autres secteurs avaient du mal à appliquer l’apprentissage machine dans leurs opérations, grâce à ses nombreuses conversations avec des dirigeants d’entreprises du MIT (un sujet que PatternEx a récemment publié un document on).

« Le MIT a fait un travail incroyable depuis que je suis arrivé ici il y a 10 ans, en faisant passer l’industrie par les portes », déclare M. Veeramachaneni. Il estime qu’au cours des six dernières années, en tant que membre du programme de liaison industrielle du MIT, il a eu 200 réunions avec des membres du secteur privé pour parler des problèmes auxquels ils sont confrontés. Il a également utilisé ces conversations pour s’assurer que les recherches de son laboratoire portent sur des problèmes pertinents.

En plus des entreprises clientes, la société a commencé à offrir sa plateforme aux fournisseurs de services de sécurité et aux équipes spécialisées dans la chasse aux cyberattaques non détectées dans les réseaux.

Aujourd’hui, les analystes peuvent construire des modèles d’apprentissage machine grâce à la plateforme PatternEx sans écrire une ligne de code, ce qui abaisse la barre pour que les gens utilisent l’apprentissage machine dans le cadre d’une tendance plus large de l’industrie vers ce que Veeramachaneni appelle la démocratisation de l’IA.

« Il n’y a pas assez de temps dans la cybersécurité ; cela ne peut pas prendre des heures, ni même des jours, pour comprendre pourquoi une attaque se produit », déclare M. Veeramachaneni. « C’est pourquoi la capacité de l’analyste à construire et à mettre au point des modèles d’apprentissage machine est l’aspect le plus critique de notre système ».

Donner une armée aux analystes de la sécurité

La plateforme d’analyse virtuelle de PatternEx est conçue pour donner aux analystes de la sécurité l’impression d’avoir une armée d’assistants qui passent au peigne fin les journaux de données et leur présentent les comportements les plus suspects sur leur réseau.

La plateforme utilise des modèles d’apprentissage automatique pour passer en revue plus de 50 flux de données et identifier les comportements suspects. Il présente ensuite ces informations à l’analyste pour obtenir un retour d’information, ainsi que des graphiques et autres visualisations de données qui aident l’analyste à décider de la marche à suivre. Une fois que l’analyste a déterminé si le comportement est une attaque ou non, ce retour d’information est incorporé dans les modèles, qui sont mis à jour sur l’ensemble de la base de clients de PatternEx.

« Avant l’apprentissage machine, quelqu’un attraperait une attaque, probablement un peu tard, il pourrait la nommer, puis il l’annoncerait, et toutes les autres entreprises appelleraient pour se renseigner et iraient vérifier leurs données », dit M. Veeramachaneni. « Pour nous, s’il y a une attaque, nous prenons ces données, et parce que nous avons plusieurs clients, nous devons les transférer en temps réel aux données d’autres clients pour voir si cela se passe aussi avec eux. Nous le faisons très efficacement au quotidien ».

Dès que le système est opérationnel avec de nouveaux clients, il est capable d’identifier 40 types différents de cyberattaques en utilisant 170 modèles différents de machines d’apprentissage préemballées. Arnaldo fait remarquer qu’alors que la société s’efforce d’augmenter ces chiffres, les clients ajoutent également à la base de modèles de PatternEx en construisant sur la plateforme des solutions qui répondent aux menaces spécifiques auxquelles ils sont confrontés.

Même si les clients ne construisent pas leurs propres modèles sur la plateforme, ils peuvent déployer le système PatternEx dès le départ, sans aucune expertise en matière d’apprentissage machine, et le voir devenir plus intelligent automatiquement.

En offrant cette flexibilité, PatternEx met les derniers outils d’intelligence artificielle à la disposition des personnes qui comprennent le mieux leur secteur d’activité. Tout cela remonte au principe fondateur de la société qui consiste à doter les humains d’une intelligence artificielle au lieu de les remplacer.

« Les utilisateurs cibles du système ne sont pas des spécialistes des données ou des experts en apprentissage machine – des profils difficiles à recruter pour les équipes de cybersécurité – mais plutôt des experts du domaine déjà sur leur liste de paie qui ont la compréhension la plus approfondie de leurs données et des cas d’utilisation », explique Arnaldo.