Comment l’intelligence artificielle a transformé le SOC ?
décembre 2023 par Luis Delabarre, Nomios Group SOC Director
La bataille de l’intelligence artificielle est engagée dans le domaine de la cybersécurité. Entre cyberattaquants et défenseurs dans les organisations, c’est à qui utilisera le mieux les technologies d’IA pour d’un côté mener des cyberattaques plus ciblées et sophistiquées, et de l’autre mieux prédire et réagir aux attaques.
Comme chacun le sait, le premier intérêt de l’IA est la capacité à récolter et à traiter des masses de données colossales et toujours croissantes. Pour les attaquants, l’IA permet d’automatiser et d’améliorer les attaques, ce qui rend le travail de la défense de plus en plus complexe. Mais heureusement, l’IA a également considérablement amélioré les capacités des services de défense et offre notamment des perspectives extraordinaires aux SOC, les centres opérationnels de sécurité, qu’ils soient internes à une entreprise ou managés c’est-à-dire proposés en mode service par un intégrateur ou fournisseur de service managé (MSP).
La première révolution apportée par l’IA dans le SOC est naturellement la capacité à automatiser le traitement d’un très grand nombre de données pour améliorer considérablement la détection des menaces. Une tâche rendue bien plus ardue par les techniques d’IA utilisées par les attaquants… mais également par l’augmentation continue des surfaces d’attaques au sein des entreprises (par les réseaux étendus, le Cloud, l’IoT, la mobilité et le télétravail, etc.).
Quels sont les principaux champs couverts par l’IA dans le SOC ?
L’une des premières évolutions apportées par l’IA et le machine learning dans la cybersécurité a été il y a quelques années la capacité à créer des algorithmes visant à analyser le comportement humain. Ainsi grâce à l’apprentissage machine, les technologies dites d’UBA ou UEBA (User Behavior Analytic et User & Entity Behavior Analytic) étaient capables de comprendre le fonctionnement d’un système d’informations et de détecter tous les comportements humains anormaux ou inhabituels au sein de ce SI (en synthèse une détection des anomalies).
Aujourd’hui, cette technologie d’UBA est devenue une commodité, intégrée au sein de la plupart des technologies de détection.
Plus récemment, l’apparition des technologies de Large Language Model (LLM) qui ont fait naître ChatGPT d’OpenAI, Copilot de Microsoft ou encore Google Bard, a révolutionné toute une partie de la cybersécurité, et notamment 3 champs principaux précieux pour les analyses SOC :
o Le Natural Language Processing (NLP) ou Traitement automatique du langage naturel qui permet une simplification des langages de requêtes en offrant la capacité à traiter des données en langage naturel. Dans le SOC, cela permet aux analystes d’éviter d’apprendre des langages complexes (ex : le langage de requête Kusto (ou KQL) de Microsoft, SPL chez Splunk, etc.) pour faire des requêtes par exemple dans les bases de données où sont consolidés les logs.
o L’amélioration des règles de détection : les analystes le savent bien, créer des règles de détection efficaces et qui ne génèrent pas trop de faux-positifs est une tâche complexe et critique. L’IA est aujourd’hui capable d’aider à rédiger ces règles de détection puis à les améliorer en faisant des recommandations d’affinage, renforçant ainsi considérablement l’efficacité de la détection.
o La capacité à traiter des incidents et à augmenter la valeur de l’analyste. Les technologies de LLM sont une aide extraordinaire pour diagnostiquer de manière très cohérente et rapide des alertes, et fournir un score d’alerte permettant de définir si une menace est réelle ou s’il s’agit simplement d’un faux-positif.
L’analyste augmenté par l’IA
Cet apport exceptionnel de l’IA et du LLM au travail d’analyste soulève d’ailleurs des questions sur l’avenir du métier d’analyste. Nous entendons en effet souvent dire que si l’IA serait capable de détecter seule et efficacement les attaques, le rôle d’analyste va devenir obsolète.
C’est en effet déjà le cas pour le métier d’analyste de niveau 1 qui a déjà disparu dans certains SOC dits modernes. Mais l’IA vient finalement couvrir et améliorer un périmètre peu attrayant pour les professionnels et qui souffre d’une pénurie mondiale. Au contraire, automatiser la partie la moins noble du métier d’analyste c’est permettre aux équipes d’investigation de passer moins de temps sur du « bruit », d’éviter ce qu’on appelle « l’alert fatigue » pour se concentrer sur des tâches qui apportent bien plus de valeur.
A titre d’exemple, nous traitons au sein de notre SOC managé près de 900 000 alertes de sécurité (pour 30 clients, sur un trimestre). Grâce aux technologies d’IA et des technologies de pointe de XDR et de SOAR, le nombre d’alertes nécessitant réellement une analyse poussée n’est plus que de 17 000, puis finalement 23 incidents réels après requalification par des analystes de niveau 2 et 3.
L’IA permet au SOC de se concentrer sur l’accompagnement de la cybersécurité
Un bon SOC se doit évidemment de prévenir et détecter efficacement les attaques.
Mais la valeur ajoutée principale d’un SOC c’est surtout sa capacité à investiguer et à remédier aux attaques. En déchargeant les analystes d’une grande partie du travail de détection, l’IA leur permet de se concentrer sur ces tâches, qualitatives et précieuses pour le client, et d’une manière bien plus fiable qu’une machine.
En effet, l’investigation nécessite un travail d’enquête approfondie que seul un humain peut effectuer car celui-ci a étudié les méthodes d’attaquants, va faire preuve d’intuition pour remonter les traces, se mettre dans la peau et dans la psychologie de l’attaquant…
Mieux encore, dans un SOC moderne, les analystes peuvent être plus proactifs et prendre le temps de réaliser une veille - ce qu’on appelle du hunting - c’est-à-dire de se renseigner sur les méthodes, les groupes d’attaquants et leurs cibles spécifiques, et pour leurs clients analyser en profondeur des logs pour détecter des indicateurs de compromission et des attaques en amont.
Enfin, le travail de remédiation est lui aussi basé sur de l’humain et des interactions fortes avec le client. En effet, une fois l’attaque isolée, les analystes vont avec le client mettre en place toutes les actions de restauration et de reconfiguration des systèmes, de récupération de données si celles-ci ont été affectées, et de déploiement de contremesures afin de palier à de futures attaques.
Le SOC s’est transformé, notamment grâce à l’IA, pour passer d’un centre opérationnel ayant pour objet premier la détection en continu des menaces, à un centre de supervision et de réaction aux attaques. L’IA ne risque pas encore de « tuer » le SOC managé. Bien au contraire. Grâce à l’IA, le SOC moderne délivre un service plus axé sur l’humain, sur l’accompagnement des entreprises qui en ont vraiment besoin pour être rassurées et mieux préparées face à des cyberattaques plus insistantes et qui génèrent des dégâts de plus en plus considérables.